احذر! البريد الالكتروني الخبيث

في الفترة الاخيرة انتشر بصورة ملحوظة كثرة الايميلات المجهولة الهوية التي تطلب منك المساعدة او الشراكة في العمل او تقديم اي نوع من انواع الخدمات لتكون وسيلة لهم لجذبك ووقوعك في المصيدة المعدة لك .

في هذه المدونة سوف اشرح مفصلة لهذا النوع من الايميل الخبيث وطريقة عمله والاتجاه الخبيث الذي يسير عليه هذا الايميل ليتم تدمير جهاز الضحية بالكامل وسحب جميع الصور والملفات المهمة في جهاز الضحية.

مطورين المصادر المفتوحة المصدر بعد اكتشافهم حملة الاختراق بواسطة البريد الالكتروني الخبيث المزود بملفات خبيثة مثل التروجان بمختلف انواعه ، بحثوا جاهدين لكل هذه المشكلة ووضع حلول امنة للمستخدمين ( Dimnie ) هذا الفايروس لديه القدرة الكافية على الاستطلاع والتجسس وتحميل الملفات الحساسة التابعة لاتجاه عملك او ملفات شخصية ، كما انها تدخل على البنية 32 بت او 64 بت وتقوم بتسجيل جميع ما بداخلها , كما انه يتم تحميل هذا الملف الخبيث على الجهاز ويقوم بتدمير ملفات انظمة الحاسوب بالكامل في حال ذكر ذلك في برمجة الفايروس الى حد كبير في السنوات الثلاث الماضية تمت محاربة هذه الفيروسات من قبل امن المعلومات والاشخاص العاملين على ذلك .

كيف يعمل هذا الفيروس على الهجوم:

يبدا الهجوم عن طريق البريد الالكتروني الخبيث المزود بملف بامتداد doc. البريد يحتوي على رسالة تقنعك بفتح هذا الملف كما ان هذا الملف الخبيث يحتوي على (macro code) وهذا الكود من أخطر اكواد البرمجة الخبيثة لان سطر الامر الخاص به يحتوي على امر التثبيت والتحكم فيها عن بعد على الجهاز دون علم الضحية مما يتيح للمخترقين العبث على جهاز الضحية والتحكم فيه دون علم الضحية، هذا الملف ليس جديد واول ظهور لها كان في عام 2014 ولكن انتشر بصورة واسعة وتم استخدامه في اساليب القيادة والسيطرة والتخفي من حاسوب لأخر.

لماذا فايروس ( Dimnie ) لم يتم اكتشافه خلال ال 3 سنوات الماضية ؟

هذا الفايروس له القدرة على التخفي اثناء الانتقال او المرور تحت دومينات وهمية وطلبات ال DNS وبذلك يستطيع الحصول على مجموعة ايميلات او عناوين اتصالات تمتلكها شركة قوقل وفايروس (Dimnie) يستخدم (HTTP)التي توهمك انها تابعة لشركة قوقل ولكن في الواقع هي لا تنتمي لأي جهة تابعة لشركة قوقل.

اغلب البرمجيات الخبيثة يتم طريقة عملها كالاتي تشفير جميع اجزاء الملف الخبيث اثناء الانتقال للجهاز وبمجرد تحميلها في الجهاز يتم فك تشفيها وتنفذ العمليات على القرص الصلب في الكمبيوتر. (Hard drive)

اما في فايروس ( Dimnie ) يتم دمجها مباشرة مع بطاقة الذاكرة او في ملفات ويندوز الاساسية ( core Windows processes ) ويبدا عملها مباشرة دون ان تترك اي اثار يوحي بوجود فايروس خبيث على الجهاز , ويهذا يسهل لمبرمجين الملفات الخبيثة استخدامها بصورة موثوق منها لأنها لا توحي باي اشارات ضارة للضحية .

ومن تحميل هذه الملفات في الخفاء وتحميل بيانات شبكة الانترنت اثناء الانتقال باعتبارها عملية غير ضارة للمستخدمين او الضاحية فان فايروس (Dimnie) استفاد من هذه الميزة ضد المحاربين للفيروسات في سهولة خدعاهم بان الانتقال يتم بصورة طبيعية جدا، ومما ساهم في عدم اكتشاف هذا الفيروس خلال السنوات السابقة الانظمة التي استخدمها الروسين لتمويه المستخدمين وساعد المخترقين ان يكون ( Dimnie ) غير معروف في عالم الفيروسات الخبيثة نسبيا .

في الصورة ادناها نموذج يوضح نوع من انواع الايميلات الضارة التي يجب الحذر منها.

المصدر: مواقع تقنية