لندن ـ «القدس العربي»: كشفت شركة «فاير آي» المتخصصة بأمن المعلومات أن البنوك في منطقة الشرق الأوسط تواجه حالياً موجة جديدة من الهجمات الالكترونية التي تهدد حسابات عملائها وأموالهم. وقالت الشركة الأمريكية إن برنامج الاستطلاع الديناميكي للتهديدات (DTI) تعرف على رسائل بريد إلكتروني تحتوي على مرفقات خبيثة يتم إرسالها لمصارف متعددة في المنطقة.
وأضافت «فاير آي» أنه يبدو أن مصادر التهديد ترسل استطلاعاً أولياً للجهات المستهدفة، وقد تم افتضاح أمرها لأنها تستخدم برامج نصية فريدة لا تستخدم عادة في حملات برمجيات إجرامية.
وأوضحت الشركة أن المهاجمين أرسلوا رسائل بريد إلكتروني متعددة تحتوي على ملفات تمكين وحدات الماكرو في برنامج «إكسل» للموظفين العاملين في القطاع المصرفي في منطقة الشرق الأوسط.
وأشارت الشركة إلى أن مواضيع هذه الرسائل قد تكون حول البنية التحتية لتكنولوجيا المعلومات، مثل تقرير حول حالة الخادم أو قائمة عن تفاصيل أجهزة «سيسكو آيرون بورت».
وفي إحدى الحالات، بدا محتوى البريد الإلكتروني طبيعياً على شكل محادثة بين عدد من الموظفين، واحتوى أيضاً على بيانات الاتصال لموظفين من عدة مصارف، وقد تم إرسال هذه الرسالة إلى عدة أشخاص، مع إرفاق ملف (Excel) الخبيث بها.
يُشار إلى أن ملفات تمكين وحدات الماكرو الخبيثة غالباً ما تُستخدم في حملات برمجيات الجريمة، ويعود سبب ذلك إلى أن إعدادات «أوفيس» الافتراضية تتطلب عادةً استخدام وحدات الماكرو لتشغيلها، كما يقنع المهاجمون الضحايا بتشغيل هذه الملفات الخطيرة من خلال إبلاغهم أنها ضرورية لعرض «المحتوى المحمي» وواحدة من التقنيات مثيرة للاهتمام التي لفتت إنتباهنا هي أنه يتم عرض محتوى إضافي بعد تشغيل الماكرو بنجاح. وقد تم ذلك لغرض الهندسة الاجتماعية -على وجه التحديد، لإقناع الضحية أن تشغيل ملف الماكرو له نتيجة في الواقع من خلال «إظهار المحتوى» من جداول البيانات الإضافية.
أما في حملات برمجيات الجريمة، يُلاحظ عادة عدم عرض أي محتوى إضافي بعد تشغيل ملفات وحدات الماكرو، ومع ذلك، في هذه الحالة، يضيف المهاجمون خطوة إضافية لإخفاء أوراق العمل أو إظهارها عند تشغيل ملف الماكرو وذلك لتبديد أي شكوك.
وقالت فاير آي، إن التقنية الأخرى المثيرة للاهتمام في هذه البرمجيات الخبيثة هي استخدام نظام أسماء النطاقات (DNS) كقناة لاستخراج البيانات.
ويتم اعتماد هذه التقنية لأنه غالباً ما يطلب نظام أسماء النطاقات لعمليات الشبكة العادية، فمن غير المحتمل أن يتم حظر بروتوكول «دي أن أس» ما يسمح بإجراء اتصالات مجانية من الشبكة، كما أنه من غير المرجح أن يثير البروتوكول الشكوك بين المدافعين عن الشبكة.
