كشف باحثو الأمن السيبراني عن حملة هجومية متطورة تستهدف مستخدمي تطبيق واتساب، حيث تستخدم البرمجيات الخبيثة ذاتية الانتشار لسرقة بيانات الدخول للبنوك وبيانات حسابات التبادلات المالية للعملات المشفرة.
تم اكتشاف الهجوم لأول مرة في 29 سبتمبر 2025، ويعتبر تطورا خطيرا في تكتيكات الهندسة الاجتماعية التي تستغل ثقة المستخدمين في جهات الاتصال المألوفة لنقل البرمجيات الضارة عبر شبكات المراسلة مثل واتساب.
كيف يعمل الهجوم؟
تبدأ الحملة عندما يتلقى الضحايا رسائل تبدو شرعية من جهات اتصال واتساب التي تم إصابتها مسبقا عبر النسخة الخاصة بالويب من التطبيق، تحتوي الرسائل على أرشيفات ZIP بأسماء مثل “NEW-20251001150505-XXXXXXXXXXzip”، أو تستخدم مصطلحات باللغة البرتغالية مثل “ORCAMENTO” وCOMPROVANTE، لتبدو وكأنها رسائل حقيقية.
توجه الرسائل الضحايا إلى ضرورة فتح المحتوى على الكمبيوتر بدلا من الهاتف المحمول، مما يهدف إلى تجاوز حماية الأمان التي قد تكون أكثر فعالية على الهواتف.
مراحل الهجوم الخبيث
بمجرد تحميل الأرشيف، يتضمن الملف LNK خبيثا لنظام ويندوز، الذي يؤدي إلى سلسلة من العدوى باستخدام أوامر PowerShell متعددة المراحل.
في المرحلة الأولى، يتم تنفيذ أمر PowerShell من الملف الخبيث لبدء العدوى، وقد رصد باحثو الأمن في “سوفوس” هذا النشاط عبر أكثر من 400 بيئة عميل، مؤثرا على أكثر من 1000 جهاز.
في المرحلة الثانية، يحاول الأمر PowerShell تعطيل الدفاعات الأمنية المهمة، مع تعليقات باللغة البرتغالية تشير بوضوح إلى النية لتعطيل “مستوى الحماية في Microsoft Defender” و “تعطيل UAC” (التحكم في حساب المستخدم).
استهداف المؤسسات المالية
بفضل تفعيل آلية التحايل هذه، يتم نشر أداة تلقيم المتصفح Selenium لسرقة الجلسات أو يتم تحميل حصان طروادة مصرفي يسمى “Maverick”، الذي يراقب الاتصالات إلى البنوك البرازيلية ومنصات تداول العملات المشفرة.
عندما يقوم الضحايا بزيارة مواقع مالية مستهدفة، يقوم البرمجيات الخبيثة بتثبيت حصان طروادة .NET المتطور، المصمم لسرقة بيانات الدخول وتسهيل المعاملات غير المصرح بها. يشير تعقيد هذه الحمولات إلى استخدام موارد تطويرية كبيرة وفهم دقيق لأنظمة البنوك البرازيلية.
التطور في الأساليب الهجومية
حدد الباحثون في وحدة مكافحة التهديدات البرازيلية “Counter Threat Unit” وجود صلات محتملة مع حملات سابقة استهدفت المستخدمين البرازيليين باستخدام حصان طروادة “Coyote” منذ فبراير 2024، والذي استخدم نفس أساليب التوزيع المشابهة.
أكثر ما يثير القلق في هذه الحملة هو آلية الانتشار الذاتي للبرمجيات الخبيثة، بعد نجاح العدوى، تحاول البرمجيات الخبيثة نشر نفسها إلى جهات اتصال الضحية عبر واتساب، مما يخلق شبكة توزيع متزايدة تعتمد على الثقة الاجتماعية.
يؤدي هذا السلوك الشبيه بالفيروس إلى تعزيز تأثير الحملة وانتشارها، حيث يميل المستخدمون إلى فتح المرفقات المرسلة من جهات الاتصال المألوفة.
نصائح للحماية
أكد خبراء الأمن السيبراني على أن هذا الهجوم يعكس تطور مشهد التهديدات حيث يستهدف المهاجمون بشكل متزايد منصات المراسلة ووسائل التواصل الاجتماعي.
وتسمح استخدام نسخة واتساب ويب للمهاجمين بتجاوز تدابير الأمان على الهواتف المحمولة، بينما يستغلون الانتشار الواسع للمنصة في البرازيل، حيث يعد واتساب أداة تواصل أساسية للأغراض الشخصية والتجارية.
للحماية من هذا النوع من الهجمات، يجب توعية المستخدمين بمخاطر فتح المرفقات المشبوهة حتى إذا كانت من جهات اتصال معروفة، كما يمكن أن يساعد الاستجابة السريعة لتنبيهات تنفيذ أوامر PowerShell في احتواء العدوى في مراحلها المبكرة، في حين أن تحديث حلول الأمان على الأجهزة يوفر دفاعا حاسما ضد هذه الهجمات المعقدة متعددة المراحل.
نقلاً عن : الجمهور الاخباري
تعليقات