أطلق متسللون ناطقون بالروسية حملة برامج ضارة تسمى “Tusk”. يقومون بإنشاء مواقع ويب مزيفة تحاكي العلامات التجارية المعروفة لنشر برامج ضارة مثل DanaBot و StealC.
يبدو أن كل يوم جديد يأتي بحملة برامج ضارة جديدة. وعلى الرغم من أن الأساليب قد تبدو مألوفة، إلا أن المتسللين لا يكلون من تحسينها لجعلها أكثر فعالية بالنسبة لهم، وأكثر خطورة على ضحاياهم.
هذه المرة، ينطلق مجرمو الإنترنت من الشرق، حيث قامت مجموعة روسية بتطوير حملة واسعة النطاق أطلق عليها باحثو كاسبرسكي اسم “Tusk”. تستخدم الحملة نسخًا طبق الأصل من مواقع الويب الشهيرة كطعم، والتي بدلاً من تنزيل تطبيق أو برنامج شرعي، تقوم بتنزيل وتثبيت حصان طروادة مليء ببرامج ضارة. تتمثل مهمته في سرقة كل ما يمكنه الوصول إليه: كلمات المرور، والبيانات المصرفية، ومحافظ العملات المشفرة…
**اسمين لنفس الحملة الخبيثة: “Tusk” للخبراء، و “Mammoth” للمتسللين**
طور مجرمو الإنترنت وراء “Tusk” ترسانة كاملة لتحقيق غاياتهم. كما هو الحال غالبًا في حملات البرامج الضارة، فإنهم يستخدمون طريقة بسيطة أثبتت فعاليتها. يبدأون بإنشاء مواقع ويب تبدو متطابقة تمامًا للخدمات الشرعية، من التصميم إلى الشعارات إلى أزرار التنزيل. لكن كما هو الحال في المسرح، فإن الديكورات مجرد واجهة.
بمجرد النقر فوقها، تبدأ المشاكل. يتم تثبيت برنامج أولي، مخفي تحت ستار تطبيق تم إنشاؤه باستخدام Electron. يطلب منك البرنامج إكمال اختبار CAPTCHA لكسب ثقتك أثناء قيامه بتنزيل ملفين ضارين آخرين دون علمك.
هذين الملفين هما أحصنة طروادة مثل DanaBot و Stealc. سيقومون بفحص جهاز الكمبيوتر الخاص بك بحثًا عن أي بيانات حساسة يمكنهم العثور عليها: كلمات المرور، والمعلومات المصرفية، ومحافظ العملات المشفرة، كل شيء. أخيرًا، يتم إرسال المسروقات إلى المتسللين الذين يمكنهم بعد ذلك انتحال هويتك، أو ابتزازك، أو بيع بياناتك على الويب المظلم.
ما يجعل “Tusk” أكثر خطورة هو أنه يقوم أيضًا بحقن برنامج يسمى “Clipper” يراقب حافظة العملات المشفرة الخاصة بك. عندما تقوم بنسخ عنوان محفظتك، يقوم بنسخه واستبداله بعنوان المتسللين. أي تحويل تقوم به سيتم إرساله إلى المحتالين دون علمك.
**البرامج الضارة خطيرة، لكن يمكن الوقاية منها**
يجب ألا يعتقد المتسللون الروس أو من أي دولة أخرى أنهم لا يقهرون. فبين خبراء الأمن السيبراني الذين يطاردونهم ويكشفون حملاتهم الخبيثة، والخدمات والتطبيقات التي تحمي أجهزتنا وبياناتنا، فإنهم سيواجهون العواقب في النهاية.
في هذه الأثناء، كيف يمكنك حماية نفسك؟ القاعدة الأولى والأهم هي توخي الحذر. حتى لو بدا موقع الويب شرعيًا تمامًا، خذ الوقت الكافي للتحقق من عنوان URL الخاص به. غالبًا ما يستخدم المتسللون أسماء نطاقات تشبه أسماء النطاقات الأصلية، ولكن مع وجود اختلاف طفيف. على سبيل المثال، “tidyme.io” بدلاً من “peerme.io”.
ثانيًا، احذر من أزرار التنزيل المغرية للغاية. إذا كان موقع الويب يطلب منك تنزيل تطبيق، فتأكد دائمًا من أنك على الموقع الرسمي للناشر. إذا كنت في شك، فانتقل إلى المتاجر الرسمية مثل App Store أو Google Play Store.
أخيرًا، تأكد من تثبيت برنامج مكافحة فيروسات جيد على جهازك وإبقائه محدثًا. يعمل مطورو برامج مكافحة الفيروسات على مدار الساعة طوال أيام الأسبوع للكشف عن التهديدات الجديدة وحظرها. من الناحية النظرية، لن تتمكن “Tusk” من النجاة من برامج مكافحة الفيروسات المحدثة.
وإذا كنت تعتقد أنك وقعت ضحية لحملة برامج ضارة، فلا تنتظر. قم بتغيير جميع كلمات المرور الخاصة بك، واتصل بالبنك الذي تتعامل معه في حالة ملاحظة أي معاملات لم تقم بإجرائها، وراقب حساباتك عبر الإنترنت عن كثب.
