حذرت «كاسبرسكي» من استهداف المؤسسات القانونية والمالية ووكالات السفر في أوروبا والشرق الأوسط ببرمجية خبيثة جديدة. واستطاع خبراء كاسبرسكي الشركة الرائدة في حلول وخدمات الأمن السيبراني تحديد نسخة ذات وظائف جديدة من البرمجية الخبيثة (Janicab)، التي تستخدمها عصابة (DeathStalker)، المختصة بالتهديدات المتقدمة المستمرة، للتسلل إلى مؤسسات معينة وعدّة قطاعات.
ورُصدت النسخة الجديدة في مناطق في أوروبا والشرق الأوسط، ووُجد أنها تستغلّ بعض خدمات الويب الرسمية، مثل يوتيوب YouTube، ضمن سلسلة الإصابة.
ويمكن أن تؤدي الإصابة بالبرمجية «Janicab»، مثلًا، إلى تحديات لوجستية وقانونية مستهدفة، وتحسين مكانة المنافسين، وعمليات تدقيق مفاجئة قد تكشف عن تحيزات وإساءات في استخدام الملكية الفكرية، ما يجعل أضرارها تختلف عن الأضرار التقليدية الناجمة عن هجمات من قبيل الابتزاز الرقمي أو الفدية. وتُعد «Janicab» برمجية خبيثة معيارية مكتوبة بلغة مفسَّرة، ما يعني أن الجهة التخريبية قادرة على إضافة الوظائف أو تضمين الملفات، أو إزالتها، بجهد ضئيل.
وتبيَّن من قراءات كاسبرسكي الواردة عن بُعد أن نسخ «Janicab» الأحدث قد شهدت تغيّرات ملموسة في بنيتها الهيكلية، مع وجود نسخ أرشيفية تحتوي على العديد من الملفات المكتوبة بلغة (Python)، وغيرها من القطع المستخدمة لاحقًا في عملية الاختراق، وذلك بالرغم من أن آلية التوصيل لا تزال قائمة على التصيّد. بمجرد أن يتمّ خداع الضحية وفتح الملف الخبيث، يجري بالتتابع تحميل سلسلة من الملفات الخبيثة على النظام.
وتتمثل إحدى السمات المميِّزة لبرمجية «DeathStalker» في استخدامها لخدمات (DDR) أو خدمات الويب، لاستضافة سلسلة مشفَّرة يُفكّ تشفيرها لاحقًا بغرسة من البرمجيات الخبيثة.
ووفقًا لتقرير جديد، استطاعت كاسبرسكي تحديد استخدام روابط يوتيوب قديمة كانت موجودة في عمليات اقتحام تمّت في عام 2021. وكانت العصابة قادرة على العمل بسرية وتكرار استخدام بنيتها الخاصة بالقيادة والسيطرة، نظرًا لصعوبة العثور على روابط الويب غير المدرجة.