شهد العالم في الحادي عشر من الشهر الماضي، حملة جديدة من رسائل البريد المزعجة والخبيثة، التي استعانت برسائل البريد الإلكتروني تحمل عنوان الخدمة البريدية في الولايات المتحدة (USPS)، حيث قامت بإعادة توجيه رسائل تحتوي على روابط إلى مواقع مايكروسوفت وورد وهمية على الإنترنت.
ومن ثم طلبت مواقع الوورد الوهمية هذه من الضحايا تثبيت البرمجية الخبيثة والمخفية “فيروس” على أنها إحدى الإضافات الخاصة بحزمة مايكروسوفت أوفيس، وتمكنت أيضاً من إرسال رسائل وهمية حول مخالفات السرعة الزائدة.
وحسب شركة بالو ألتو نتوركس العالمية لصناعة حلول الأمن الالكتروني، ظهر خلال الحملة برمجية الفدية الخبيثة والجديدة مول «Mole»، وذلك لأن أسماء الملفات المشفرة من قبل برمجية الفدية الخبيثة هذه تنتهي باللاحقة «مول»، ويبدو أن «مول» تشكل جزءاً من عائلة برمجيات الفدية الخبيثة «كريبتوميكس».
لكن الحملة وفقاً للشركة، سرعان ما قامت بتغيير أسلوبها وزيادة مستوى التعقيد، فبعد مرور يومين، أي في 13 أبريل، قام المهاجمون الذين يقفون وراء إضافات أوفيس الوهمية بتغيير أسلوبهم من خلال طرح برمجية خبيثة إضافية.
فإلى جانب التعرض إلى «مول»، سيصاب الضحايا بالبرمجيتين الخبيثتين كوفتر «Kovter» وميورف «Miuref»
. وفي 14 أبريل، توقف المهاجمون عن استخدام روابط معاد توجيهها ضمن رسائل البريد المزعجة والخبيثة، وعوضاً عن ذلك قاموا بربطها مباشرةً إلى موقع وورد وهمي عبر الانترنت.
وتميل معظم حملات رسائل البريد المزعجة والخبيثة الواسعة النطاق إلى التمسك بأنماط تشغيل يسهل التعرف عليها وتعقبها، وقد قامت هذه الحملة بالذات بالتطور بسرعة أكبر مما نشهده عادةً، ومن المرجح أنهم اتبعوا هذا الأسلوب المتغير من أجل تجنب اكتشافهم. وبحلول 18 أبريل، توقفت الحملة عن نشر «مول»، وبدأت بإقحام البرمجية KINS banking Trojan مع كل من كوفتر وميورف.
وفي 21 أبريل، انتقلت الحملة من رسائل البريد الإلكتروني المرتبطة بالخدمة البريدية في الولايات المتحدة (USPS)، إلى رسائل مخالفات السرعة الزائدة، حيث بدأت باستخدام موقع خدمات وهمي لإيقاف السيارات.
وقالت الشركة إنها توقفت عن رصد «مول» لأن عائلات برمجيات الفدية الخبيثة تتغير باستمرار لكنها أكدت في الوقت نفسه مواصلتها التحقيق والكشف عن هذا النشاط ، لتعزيز منصة الوقاية من التهديدات التي تمتلكها.
المصدر: البيان
