تكنولوجيا

تحذير عاجل لمستخدمي واتساب ويب.. اكتشف السر الغامض الذي يخترق حسابك

تحذير عاجل لمستخدمي واتساب ويب.. اكتشف السر الغامض الذي يخترق حسابك
بواسطةمحمد الهلالي آخر تحديث

كشف خبراء الأمن السيبراني في شركات CyberProof وTrend Micro وSophos وKaspersky عن هجوم جديد يعرف باسم Maverick يستهدف مستخدمي واتساب ويب، يعتمد الهجوم على الجمع بين Visual Basic Script وPowerShell مع أتمتة المتصفح للاستيلاء على حسابات المستخدمين ونشر ملفات مضغوطة ZIP خبيثة إلى جهات الاتصال.

هجوم جديد يستهدف مستخدمي واتساب ويب عبر برمجيات خبيثة متطورة

أوضحت فرق التحقيق في CyberProof أن إحدى الحوادث بدأت بتحميل ملف ZIP مشبوه عبر واجهة واتساب ويب، يتضمن الملف اختصارات (LNK) لتنفذ أوامر PowerShell أو CMD لاستدعاء خادم المهاجم وتحميل المرحلة الأولى من البرمجية الخبيثة.

 

 

يستخدم التحميل الخبيث تقنيات إخفاء الكود التقليدية مثل Base64 وUTF‑16LE، ويختبر وجود أدوات تحليل عكسية، فإذا تم اكتشافها ينهي نفسه تلقائيا، وإلا يقوم بتحميل دودة تعرف باسم SORVEPOTEL وتروجان مصرفي يسمى Maverick.

كيفية عمل Maverick؟

يفحص البرمجية علامات تبويب المتصفح النشطة بحثا عن مواقع مالية محددة في أمريكا اللاتينية، وخاصة البرازيل، عند المطابقة، يرسل النظام بيانات النظام لتنفيذ صفحات تصيد لسرقة بيانات المستخدم.

يعتمد الهجوم على لغتي VBScript وPowerShell بدلا من ملفات .NET، حيث يحتوي ملف ZIP على سكريبت Orcamentovbs الذي يشغل tadeups1 مباشرة في الذاكرة، ويتحكم تلقائيا في متصفح كروم باستخدام أدوات التشغيل الآلي.

تستولي البرمجية الخبيثة على جلسة واتساب ويب للمستخدم ويرسل الملفات الخبيثة إلى جميع جهات الاتصال دون ظهور تحذيرات أمان أو مسح رمز QR.

يعرض الهجوم لافتة مزيفة بعنوان “WhatsApp Automation v6.0” لإخفاء نشاطه، ويستخرج الرسائل من خادم التحكم عن بعد ويخصص الرسائل حسب اسم جهة الاتصال والوقت.

أكدت CyberProof وTrend Micro أن Maverick يثبت نفسه فقط بعد التأكد من أن المستخدم موجود في البرازيل من خلال المنطقة الزمنية ولغة النظام وتنسيق التاريخ والوقت، مع تقييد التنفيذ فقط على الأنظمة ذات اللغة البرتغالية.

ويستخدم الهجوم حلقة انتشار تعتمد على جميع جهات الاتصال المستهدفة مع إمكانية التحكم عن بعد في التوقف والاستئناف.

يعتقد أن المهاجم قد يوسع أهدافه لاحقا لتشمل قطاع الضيافة والفنادق البرازيلية، ما قد يعرض الضيوف ذوي القيمة العالية للخطر.

أكدت كاسبرسكي وجود تشابهات بين Maverick وبرمجيات قديمة مثل Coyote، بينما اعتبرت Sophos أن Maverick قد يكون نسخة مطورة منها، كما تشير Trend Micro إلى أن النظام يستخدم خوادم C2 متطورة تدعم إدارة الوقت الحقيقي، مما يجعل رصد الهجوم أكثر صعوبة.

نقلاً عن : الجمهور الاخباري

شارك
محمد الهلالي

محمد الهلالي، كاتب متخصص في الأخبار يتمتع بخبرة واسعة في تغطية الأحداث المحلية والعالمية. يسعى لتقديم محتوى دقيق وشامل يضع القارئ في قلب الحدث، مع تحليلات معمّقة ورؤية متوازنة تعزز الفهم العام وتسلط الضوء على خلفيات الأخبار وتأثيراتها.