قام أخصائيو التهديدات في مركز خبراء الأمن التابع لـ”بوزيتف تكنولوجيز” بكشف وتحليل حملة جديدة من البرمجيات الخبيثة التي تستهدف الأفراد في منطقة الشرق الأوسط وشمال أفريقيا. وكشفت التحليلات أن الحملة انطلقت في سبتمبر 2024، وهي تعتمد على نسخة معدلة من برمجية AsyncRAT لاستهداف الضحايا، حيث استخدم المهاجمون روابط لمنصات إخبارية وهمية على وسائل التواصل الاجتماعي، معتمدين على منشورات ترويجية تحتوي على روابط لمنصات مشاركة الملفات أو قنوات على تطبيق “تيليجرام”. وتم تصميم البرمجية الخبيثة المعدلة لسرقة بيانات محافظ العملات الرقمية والتواصل مع روبوت الدردشة على “تيليجرام”.
وكشف هذا التحقيق عن وجود ما يقارب 900 ضحية محتملة لهذا الهجوم، كان معظمهم من المستخدمين العاديين، ومن بينهم موظفون يعملون في قطاعات مثل النفط والغاز والإنشاءات وتكنولوجيا المعلومات والزراعة.
أظهرت التحليلات أن معظم الضحايا يقيمون في ليبيا (49%)، والمملكة العربية السعودية (17%)، ومصر (10%)، وتركيا (9%)، والإمارات العربية المتحدة (7%)، وقطر (5%)، بالإضافة إلى دول أخرى.
وأطلق الباحثون اسم “ديزرت ديكستر” (Desert Dexter) على المجموعة المسؤولة عن الهجوم، مستوحى من هوية أحد أفراد المجموعة المشتبه بهم. وكشفت التحقيقات عن استخدام المهاجمين لحسابات مؤقتة وصفحات إخبارية وهمية على منصة “فيسبوك”[1] للتحايل على أنظمة تصفية الإعلانات. ورغم توثيق هجوم مشابه من قبل باحثي “تشيك بوينت” (Check Point) في عام 2019، إلا أن الحملة الحالية تعتمد على أساليب أكثر تطوراً للهجوم.
وتعليقاً على هذه النتائج قال دينيس كوفشينوف، رئيس قسم تحليل التهديدات في مركز خبراء الأمن التابع لشركة “بوزيتف تكنولوجيز: “يتبع هذا الهجوم منهجية متعددة المراحل، حيث يتم استدراج الضحايا عن طريق منشورات ترويجية إلى قناة على تطبيق ’ تيليجرام‘ يتم تشغيلها من قبل المهاجمين، تتخذ هيئة منصة إخبارية . ويتلقى الضحية أرشيف RAR يحتوي على ملفات ضارة. تقوم هذه الملفات بتحميل وتشغيل برنامج AsyncRAT، وتجميع المعلومات الضرورية للنظام، وإرسالها إلى بوت المهاجمين على ’ تيليجرام‘. النسخة المستخدمة من AsyncRAT في هذه الحملة تتضمن وحدة IdSender معدلة تجمع بيانات عن إضافات محافظ العملات الرقمية، وإضافات التحقق بخطوتين في متصفحات مختلفة، والبرمجيات المستخدمة لإدارة محافظ العملات الرقمية.”
ورغم أن الأدوات التي تستخدمها مجموعة “ديزرت ديكستر” ليست متطورة، إلا أن استغلالها للإعلانات على وسائل التواصل الاجتماعي والخدمات المشروعة والتوترات الجيوسياسية في المنطقة زاد من فعالية حملتها. وتعتمد المجموعة على استخدام منشورات حول مزاعم بتسريب معلومات سرية، مما يجعل سلسلة الهجوم متنوعة بما يكفي لاختراق أجهزة المستخدمين العاديين والمسؤولين رفيعي المستوى على حد سواء.
ويشير الباحثون إلى أن التوترات الجيوسياسية المستمرة في الشرق الأوسط وشمال أفريقيا جعلت من المنطقة هدفاً رئيسياً للهجمات السيبرانية التي تستهدف الأفراد والمؤسسات الحكومية، إذ لا تزال القضايا السياسية أداة شائعة في حملات التصيد، وخصوصاً مع ازدياد تعقيد الهجمات، وتعديل البرمجيات الخبيثة باستمرار لتناسب استراتيجيات الجهات المهاجمة المختلفة.
[1]ميتا (أو فيسبوك) محظور حالياً في روسيا.
