SambaSpy: فيروس حصان طروادة جديد للوصول عن بعد

اكتشفنا فيروس حصان طروادة جديدًا انتقائيًا للغاية فيما يتعلق بضحاياه.

اكتشفنا فيروس حصان طروادة جديدًا انتقائيًا للغاية فيما يتعلق بضحاياه.

اليوم دعونا نتحدث عن فيروسات جديدة. ليست الفيروسات العادية، بل النوع الرقمي – فيروسات حصان طروادة للوصول عن بعد، أو RATs. وهي فيروس حصان طروادة التي يستخدمها المهاجمون للحصول على إمكانية الوصول عن بُعد إلى جهاز ما. وفي العادة، تستطيع فيروسات حصان طروادة للوصول عن بُعد تثبيت البرامج وإلغاء تثبيتها، والتحكم في الحافظة وتسجيل الضغطات على المفاتيح.

في مايو 2024، تسللت سلالة جديدة من فيروسات حصان طروادة للوصول عن بعد، تُسمى SambaSpy، إلى مصيدتنا. ولتعرف كيف يصيب هذا البرنامج الخبيث أجهزة ضحاياه وماذا يفعل بمجرد دخوله، تابع قراءة هذه المقالة.

ما هو SambaSpy

SambaSpy عبارة عن فيروس حصان طروادة للوصول عن بعد يتضمن العديد من الخصائص تم تشويشه باستخدام Zelix KlassMaster، مما يجعل اكتشافه وتحليله أكثر صعوبة. ومع ذلك، كان فريقنا على مستوى التحدي واكتشف أن فيروس حصان طروادة للوصول عن بعد الجديد هذا قادر على التالي:

  • إدارة نظام الملفات والعمليات
  • تنزيل وتحميل الملفات
  • التحكم في كاميرا الويب
  • أخذ لقطات شاشة
  • سرقة كلمات المرور
  • تحميل المكونات الإضافية
  • التحكم عن بعد في سطح المكتب
  • تسجيل الضغطات على المفاتيح
  • إدارة الحافظة

هل تشعر بالإثارة؟ يبدو أن SambaSpy يمكنه فعل كل شيء – الأداة المثالية لشخصية الشرير في أفلام جيمس بوند للقرن الحادي والعشرين. لكن حتى هذه القائمة الموسعة ليست شاملة: اقرأ المزيد عن قدرات فيروس حصان طروادة للوصول عن بعد هذا في النسخة الكاملة لدراستنا.

كانت الحملة الخبيثة التي اكتشفناها تستهدف الضحايا في إيطاليا حصريًا. وربما تفاجأت، لكن هذا في الواقع خبر جيد (للجميع باستثناء الإيطاليين). يحاول المهاجمون عادة نشر شبكة واسعة لتعظيم أرباحهم، إلا أن هؤلاء المهاجمين يركزون على بلد واحد فقط. فلماذا يعد هذا أمرًا جيدًا؟ من المحتمل أن يكون المهاجمون يختبرون الأمر مع المستخدمين الإيطاليين قبل توسيع نطاق عملياتهم إلى بلدان أخرى – ونحن بالفعل متقدمون عليهم بخطوة، لأننا على دراية بفيروس SambaSpy وكيفية مواجهته. وكل ما يحتاجه مستخدمونا في جميع أنحاء العالم هو التأكد من أنهم يمتلكون حلاً أمنيًا موثوق، ويتابعون القراءة مع علمهم أننا نمتلك هذا الحل.

كيف ينشر المهاجمون SambaSpy

باختصار، على غرار العديد من فيروسات حصان طروادة للوصول عن بُعد الأخرى، فإنهم ينشرونه عبر البريد الإلكتروني. واستخدم المهاجمون سلسلتي إصابة رئيسيتين، تتضمن كلتاهما رسائل بريد إلكتروني للتصيد الاحتيالي متخفية في شكل اتصالات من وكالة عقارية. وكان العنصر الرئيسي في البريد الإلكتروني هو الحث على اتخاذ إجراء للتحقق من الفاتورة بالنقر على رابط تشعبي.

للوهلة الأولى، يبدو البريد الإلكتروني شرعيًا - باستثناء أنه تم إرساله من عنوان بريد إلكتروني ألماني، لكنه مكتوب باللغة الإيطالية

للوهلة الأولى، يبدو البريد الإلكتروني شرعيًا – باستثناء أنه تم إرساله من عنوان بريد إلكتروني ألماني، لكنه مكتوب باللغة الإيطالية

يؤدي الضغط على الرابط إلى إعادة توجيه المستخدمين إلى موقع ويب ضار يتحقق من لغة النظام والمستعرض المستخدم. وإذا تم ضبط نظام التشغيل الخاص بالضحية المحتملة على النظام الإيطالي وفتح الرابط في Edge أو Firefox أو Chrome، فسيتلقى ملف PDF خبيثًا يصيب أجهزته إما ببرنامج تنزيل للفيروسات أو أداة تنزيل. والفرق بين الاثنين ضئيل للغاية: حيث يقوم برنامج تنزيل الفيروسات بتثبيت فيروس حصان طروادة على الفور، بينما تقوم أداة التنزيل أولاً بتنزيل المكونات الضرورية من خوادم المهاجمين.

قبل البدء، يتحقق كل من برنامج التحميل وبرنامج التنزيل من أن النظام لا يعمل في جهاز افتراضي، والأهم من ذلك، أن لغة نظام التشغيل مضبوطة على اللغة الإيطالية. وفي حالة استيفاء كلا الشرطين، فسوف يتعرض الجهاز للإصابة.

تتم إعادة توجيه المستخدمين الذين لا يستوفون هذه المعايير إلى موقع الويب FattureInCloud، وهو حل إيطالي قائم على السحابة لتخزين الفواتير الرقمية وإدارتها. ويسمح هذا التمويه الذكي للمهاجمين باستهداف جمهور محدد فقط – حيث يتم إعادة توجيه أي شخص آخر إلى موقع ويب شرعي.

من يقف وراء SambaSpy؟

لم نتمكن بعد من تحديد المجموعة التي تقف وراء هذا التوزيع المتطور لفيروس SambaSpy. ومع ذلك، أظهرت لنا الأدلة الظرفية أن المهاجمين يتحدثون البرتغالية البرازيلية. ونعلم أيضًا أنهم يوسعون عملياتهم بالفعل إلى إسبانيا والبرازيل – كما يتضح من النطاقات الضارة التي تستخدمها المجموعة نفسها في حملات أخرى تم اكتشافها. وبالمناسبة، لم تعد هذه الحملات تتضمن التحقق من اللغة.

كيف تحمي نفسك من SambaSpy

إن أهم ما يمكن استخلاصه من هذه القصة هو طريقة الإصابة، التي تشير إلى أن أي شخص في أي مكان، ويتحدث أي لغة، يمكن أن يكون هدفًا للحملة القادمة. وبالنسبة للمهاجمين، لا يهم حقًا من يستهدفون، ولا تعد تفاصيل طُعم التصيد الاحتيالي مهمة أيضًا. واليوم قد تكون فاتورة من وكالة عقارية، وغدًا إشعار ضريبي، وفي اليوم الذي يليه تذاكر طيران أو قسائم سفر.

فيما يلي بعض النصائح والتوصيات لمساعدتك على البقاء آمنًا من SambaSpy:

  • قم بتثبيت Kaspersky Premium قبل أن يُظهر جهازك أي علامات للإصابة. ويتمكن حلنا من اكتشاف SambaSpy والبرامج الضارة الأخرى وتحييدها بشكل موثوق.
  • كن دائمًا حذرًا من رسائل البريد الإلكتروني للتصيد الاحتيالي. وقبل أن تنقر على رابط في صندوق الوارد الخاص بك، خذ دقيقة لتسأل نفسك: “هل يمكن أن تكون هذه الرسالة احتيالية؟”

كيف يهاجم المحتالون اللاعبين الصغار

حلّ فصل الخريف، ويعود الأطفال إلى المدرسة ويلتقون أيضًا بأصدقائهم في ألعابهم المفضلة على الإنترنت. ومن هذا المنطلق، أجرينا للتو واحدة من أكبر دراساتنا على الإطلاق حول التهديدات التي من المرجح أن يواجهها اللاعبون الصغار.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!