كشف موقع "talosintelligence" الذي كان السبيل الوحيد لإيقاف هجوم فيروس "الفدية" العالمي العام الماضي، أنّ هناك حملات جديدة تستهدف الشرق الأوسط.
وأشار الموقع الى أنّ شركة Cisco Talos اكتشفت وجود حملة الكترونيّة جديدة تستهدف نطاقات على الإنترنت (Domains) لبنان والإمارات العربية المتحدة، وبالتحديد النطاقات الحكوميّة أي "gov."، إضافةً الى موقع شركة طيران لبنانية هي شركة طيران الشرق الأوسط.
وبحسب الموقع، فقد استغرق المقرصنون وقتًا حتى فهموا البنية التحتية لشبكات الضحايا.
وأضاف: "استنادًا إلى البنية التحتية لهذا الفريق المقرصن وTTPs، لم نتمكّن من ربطها بأي حملة أخرى تمت ملاحظتها مؤخرًا".
ووفقًا للتفاصيل، تستخدم هذه الحملة تحديدًا موقعين خبيرين مزيفين يحتويان على إعلانات وظائف، يتم استخدامها للتغلب على الأهداف عبر مستندات Microsoft Office الضارة مع تضمين وحدات الماكرو (embedded macros). وتدعم البرامج الضارة التي يستخدمها المهاجمون والتي أُطلق عليها إسم "DNSpionage"، اتصال HTTP و DNS مع المهاجمين.
ولفت الموقع إلى أنّه وفي حملة منفصلة، استخدم المهاجمون عنوان IP نفسه لإعادة توجيه DNS لنطاقات .gov والأخرى الخاصّة.
ولفت الموقع إلى أنّ ما يفعله المهاجمون هو نشر "مساعدة مطلوبة" للباحثين عن العمل، ولدى النقر عليها تبدأ البرمجيات الخبيثة عملها، وشرح مطوّلاً كيفية حصول الهجوم تقنيًا، ومعلومات عن طرق تفاديه.
كما يمكن أن يعمل المقرصنون على إرسال روابط الوظائف عبر البريد الإلكتروني و"لينكدإن" وعلى مواقع التواصل الإجتماعي.
وبحسب موقع itwire، فإنّ أحد النطاقات الذي تمّ استهدافه يتبع لوزارة المال.
