كشفت حملة برمجية خبيثة جديدة، تُعرف باسم Boto Cor-de-Rosa، عن تطورات مقلقة في أساليب نشر البرمجيات الضارة، حيث تستغل برنامج Astaroth المصرفي لاستهداف أنظمة ويندوز عبر واتساب ويب، مع قدرات انتشار آلية. تستهدف الحملة بشكل خاص المستخدمين في البرازيل، مستفيدة من منصة واتساب ويب لجمع قوائم جهات الاتصال وإرسال رسائل خبيثة تلقائياً إلى كل جهة اتصال، مما يخلق حلقة عدوى ذاتية الاستدامة.
تمثل هذه الحملة خطوة متقدمة في كيفية انتشار البرمجيات الخبيثة عبر منصات المراسلة، مع دمج آليات متطورة للانتشار وهجمات سرقة بيانات الاعتماد. تعمل البرمجية الخبيثة من خلال نهج مزدوج يجمع بين الانتشار العدواني وسرقة بيانات الاعتماد.
حملة Astaroth تستهدف مستخدمي واتساب ويب ببراعة
تبدأ عملية الإصابة بشكل غير ملحوظ، حيث تحمل الملفات أسماء تتبع أنماطاً تبدو أقل إثارة للشبهات، مثل “552516107-a9af16a8-552.zip”. اكتشف باحثون من Acronis أن البرمجية الخبيثة تستخدم تقنيات هندسة اجتماعية متقدمة لزيادة معدل نجاحها.
عندما يتلقى الضحايا ملف ZIP عبر واتساب ويقومون بفتحه، يواجهون نصاً برمجياً مكتوباً بلغة Visual Basic Scrip، يبدو وكأنه ملف شرعي. بمجرد تشغيل هذا النص، يقوم بتنزيل مكونين أساسيين: الحمولة الأساسية لبرنامج Astaroth المصرفي المكتوبة بلغة Delphi، ووحدة انتشار لواتساب تعتمد على لغة Python.
آلية الانتشار المتقدمة
تتضمن وحدة الانتشار آليات تتبع مدمجة تراقب مقاييس التسليم في الوقت الفعلي. يقوم الكود بحساب إحصائيات مثل عمليات التسليم الناجحة، والمحاولات الفاشلة، ومعدل الإرسال المقاس بالرسائل في الدقيقة.
بعد كل 50 رسالة، تقوم الوحدة بإنشاء تحديثات للمسؤول توضح نسبة جهات الاتصال التي تم معالجتها ومعدل النقل الحالي. تتضمن الوحدة أيضاً اكتشافاً آلياً للوقت من اليوم، مما يسمح بإرسال تحيات مناسبة باللغة البرتغالية قبل تقديم الحمولة الخبيثة.
يقرأ قالب الرسالة “Segue o arquivo solicitado. Qualquer dvida estou disposio!”، والتي تُترجم إلى “هذا هو الملف المطلوب. لأي استفسار، أنا متاح!”. هذا الأسلوب غير الرسمي والمألوف يجعل المستلمين أكثر عرضة للوثوق بالمرفق.
تفاصيل تقنية لآلية الهجوم
يقوم المُنزل VBS المضمن في أرشيف ZIP، والذي يتراوح حجمه عادة بين 50 إلى 100 كيلوبايت، بتنفيذ أوامر PowerShell لتنزيل المكونات من نطاقات مخترقة مثل coffe-estilo.com. يتم تشفير النص البرمجي بشكل مكثف لتجنب اكتشافه.
بعد فك تشفير الكود، يبدأ بتنزيل وتثبيت حزمة MSI، والتي تقوم بنشر الملفات في دليل “C:MicrosoftEdgeCache6.60.2.9313”. تشمل هذه الملفات “electron.exe” وملفات DLL متنوعة تشكل حمولة Astaroth المصرفية الكاملة. وبهذه الطريقة، تنجح الحملة في الانتشار وجمع بيانات الاعتماد دون أن يدرك الضحية ذلك.