كشف باحثون في مجال الأمن السيبراني عن حملة برمجيات خبيثة متطورة تستغل تطبيق واتساب لتوزيع برمجيات مصرفية ضارة تستهدف مؤسسات مالية ومنصّات لتداول العملات المشفّرة في البرازيل.
البرمجية الجديدة التي تم رصدها لأول مرة في 29 سبتمبر 2025، تُصنَّف ضمن الديدان الذاتية النسخ (self-replicating worm)، وتتميّز بتقنيات إخفاء متعددة المراحل تتيح لها تجاوز أنظمة الحماية الحديثة، وقد أصابت بالفعل أكثر من 400 جهة و1000 جهاز مختلف.
كيف تبدأ الهجمة؟
تبدأ العملية برسالة تصل إلى الضحية عبر واتساب ويب من جهة اتصال سبق أن أُصيبت بالبرمجية. الرسالة تتضمّن ملفًا مضغوطًا (ZIP) خبيثًا يُروَّج له على أنه يحتوي على محتوى لا يمكن فتحه إلا من خلال الحاسوب، مما يدفع المستخدم إلى تحميل الملف وتشغيله على أنظمة ويندوز بدل الهواتف المحمولة.
هذا الأسلوب الاجتماعي الذكي يسمح للمهاجمين بالوصول إلى بيئة أكثر ملاءمة لتثبيت البرمجية وجعلها تعمل بشكل دائم على الجهاز.
آلية الإصابة المعقدة
رصدت شركة Sophos خلال تحقيقاتها في الحوادث الأمنية داخل البرازيل آلية إصابة متقدمة للغاية، تُظهر فهمًا عميقًا لبنية أمان نظام ويندوز وأوامر PowerShell. الملف التنفيذي الأول يكون على شكل اختصار (LNK) داخل الأرشيف المضغوط، ويحتوي على أمر مشفّر يعمل على تشغيل سكريبت PowerShell مبرمج على مرحلتين.
المرحلة الأولى تُنشئ عملية “Explorer” تقوم سرًّا بتنزيل الحمولة التالية من خوادم تحكم وسيطرة (C2). أما المرحلة الثانية فتقوم بتعطيل أدوات الأمان، مثل Microsoft Defender وميزة التحكم في حساب المستخدم (UAC)، لتوفير بيئة عمل خالية من القيود أمام البرمجية.
حمولة مزدوجة: من التجسس إلى السيطرة الكاملة
تُظهر التحليلات أن الحملة الخبيثة توزّع نوعين من الحمولات بناءً على خصائص النظام المصاب:الأداة الأولى تعتمد على Selenium، وهي مكتبة للتحكم في المتصفحات، مرفقة بسائق ChromeDriver، ما يسمح للمهاجمين بالتحكم في الجلسات النشطة على واتساب ويب وإعادة نشر العدوى.
أما الحمولة الثانية فهي حصان طروادة مصرفي يُعرف باسم Maverick، يعمل على مراقبة حركة المتصفح لاكتشاف الاتصالات مع مواقع البنوك أو بورصات العملات الرقمية، وحينها يُطلق برمجيات إضافية مبنية على .NET لسرقة البيانات أو تنفيذ معاملات مالية مزيفة.
ويشير مستوى التعقيد في التعليمات البرمجية واستخدام اللغة البرتغالية في بعض الأوامر إلى أن المجموعة المنفذة محترفة للغاية وتملك معرفة دقيقة بالبنية المصرفية البرازيلية. ويُرجَّح أن يكون وراء الحملة جهات إجرامية منظّمة تمتلك تمويلًا وخبرة تقنية كبيرة.
كيف تحمي نفسك؟
ينصح الخبراء المستخدمين باتباع إجراءات حماية أساسية لتجنّب الإصابة بهذه البرمجيات، مثل: تحديث أنظمة التشغيل باستمرار، واستخدام برامج مضادّة للفيروسات، وتجنّب تحميل الملفات من مصادر مجهولة، والانتباه لرسائل التصيد الاحتيالي (Phishing) التي قد تبدو قادمة من جهات موثوقة. كما يُستحسن تفعيل المصادقة المتعددة العوامل (MFA) وحفظ نسخ احتياطية دورية من البيانات الحساسة.
بينما يواصل المهاجمون استغلال الثقة في التطبيقات الشائعة مثل واتساب لنشر تهديداتهم، يُظهر هذا الهجوم أن الذكاء الاجتماعي والتقنيات البرمجية المتقدمة أصبحا مزيجًا خطيرًا في حروب الإنترنت الحديثة، ما يستدعي يقظة دائمة من المستخدمين والمؤسسات على حدّ سواء.
