الكشف عن تفاصيل برمجية الفدية الخبيثة Mole التي تمكنت من إرسال رسائل وهمية حول مخالفات السرعة

شهد العالم في الـ 11 من أبريل 2017 حملة جديدة من رسائل البريد المزعجة والخبيثة، التي استعانت برسائل البريد الإلكتروني تحمل عنوان الخدمة البريدية في الولايات المتحدة (USPS)، حيث قامت بإعادة توجيه رسائل تحتوي على روابط إلى مواقع ميكروسوفت وورد وهمية على الإنترنت. ومن ثم طلبت مواقع الوورد الوهمية هذه من الضحايا تثبيت البرمجية الخبيثة والمخفية على أنها أحد الإضافات الخاصة بحزمة ميكروسوفت أوفيس.

وظهر خلال هذه الحملة برمجية الفدية الخبيثة والجديدة مول Mole، وذلك لأن أسماء الملفات المشفرة من قبل برمجية الفدية الخبيثة هذه تنتهي باللاحقة .Mole، ويبدو أن Mole تشكل جزءاً من عائلة برمجيات الفدية الخبيثةكريبتوميكس CryptoMix، وذلك لكونها تشترك بالعديد من الخصائص مع المتغيرين RevengeوCryptoShield من عائلة كريبتوميكس CryptoMix.

لكن هذه الحملة سرعان ما قامت بتغيير أسلوبها وزيادة مستوى التعقيد، فبعد مرور يومين، أي في الـ 13 من أبريل 2017، قام المهاجمون الذين يقفون وراء إضافات أوفيس الوهمية بتغيير أسلوبهم من خلال طرح برمجية خبيثة إضافية. فإلى جانب التعرض إلى برمجية الفدية الخبيثة مول Mole، سيصاب الضحايا بالبرمجيتين الخبيثتين كوفترKovter وميورف Miuref. وفي اليوم التالي، أي في الـ 14 من أبريل 2017، توقف المهاجمون عن استخدام روابط معاد توجيهها ضمن رسائل البريد المزعجة والخبيثة، وعوضاً عن ذلك قاموا بربطها مباشرةً إلى موقع وورد وهمي عبر الانترنت. ويبين الأسلوب المتغير الذي اتبعه المهاجمين بدءاً من يوم الثلاثاء 11 أبريل 2017، حتى يوم الجمعة 14 أبريل 2017.

وتميل معظم حملات رسائل البريد المزعجة والخبيثة الواسعة النطاق إلى التمسك بأنماط تشغيل يسهل التعرف عليها وتعقبها، وقد قامت هذه الحملة بالذات بالتطور بسرعة أكبر مما نشهده عادةً، ومن المرجح أنهم اتبعوا هذا الأسلوب المتغير من أجل تجنب اكتشافهم.

وتستمر هذه الحملة بالتطور والانتشار، فبحلول يوم الثلاثاء الـ 18 أبريل 2017، توقفت عن نشر ببرمجية الفدية الخبيثة مول Mole، وبدأت بإقحام البرمجية الخبيثة KINS banking Trojan مع كل من كوفتر Kovterوميورف Miuref. وبقدوم يوم الجمعة الـ 21 من أبريل 2017، انتقلت هذه الحملة من رسائل البريد الإلكتروني المرتبطة بالخدمة البريدية في الولايات المتحدة (USPS)، إلى رسائل مخالفات السرعة الزائدة، حيث بدأت باستخدام موقع خدمات وهمي لإيقاف السيارات.

لكن لماذا توقفنا عن رصد برمجية الفدية الخبيثة مول Mole؟ السبب بسيط، لأن عائلات برمجيات الفدية الخبيثة تتغير باستمرار، حيث من النادر بقاء متغيرات كريبتوميكس CryptoMix قيد الاستخدام لأكثر من بضعة أسابيع، وذلك قبيل إعادة حزمها ونشرها كصيغة متغيرة جديدة. كما أن عينات برمجية الفدية الخبيثة مول Mole التي قمنا بتحديدها حتى الآن مرتبطة ببرمجية أوتوفوكس AutoFocus باستخدام التاغ MoleRansomware.

وستواصل شركة بالو ألتو نتووركس التحقيق والكشف عن هذا النشاط من أجل المؤشرات القابلة للتطبيق، ولإعلام المجتمع، ولتعزيز منصة الوقاية من التهديدات التي لدينا.