كشفت تقارير أمنية حديثة عن حملة برمجيات خبيثة جديدة تستهدف مستخدمي واتساب، مستغلة المنصة الشهيرة لتوزيع برامج تجسس مالية وسرقة بيانات المستخدمين.
تعتمد هذه الحملة، بحسب الباحثين، على الهندسة الاجتماعية لخداع الضحايا، حيث تستغل الثقة المتبادلة بين جهات الاتصال لجعل الملفات الضارة تبدو موثوقة.
حملة خبيثة تستهدف واتساب لسرقة بيانات المستخدمين
تبدأ العملية بإرسال رسائل بريد إلكتروني تصيدية تحتوي على نصوص برمجية VBS مضغوطة، وتستخدم تقنيات إخفاء متقدمة لتجنب اكتشافها من قبل برامج الأمن.
بمجرد تشغيل الحمولة الأولية، تقوم البرمجية الخبيثة بتحميل وتثبيت مكونات Python و Selenium WebDriver، مما يتيح لها التفاعل الآلي مع واتساب ويب.
من جهتها، تقوم البرمجية الخبيثة بحقن كود JavaScript ضار في جلسة متصفح الضحية، مما يسمح لها بالوصول إلى واجهات برمجة التطبيقات الداخلية لواتساب لاستخراج جهات الاتصال وتوزيع حمولات أخرى.
هذا النهج يسمح للمهاجمين بنشر العدوى دون الحاجة إلى مصادقة رمز الاستجابة السريعة (QR code)، وذلك عن طريق الاستيلاء على الجلسات المسجلة حاليًا من خلال نسخ ملفات تعريف الارتباط وبيانات التخزين المحلي.
آلية الانتشار والاستيلاء
فريق K7 Security Labs حدد هذا المتغير كجزء من حملة Water-Saci الأوسع، والتي تستهدف المؤسسات المالية في البرازيل بشكل نشط.
تستخدم سلسلة الهجوم هذه سكربت توزيع يعتمد على Python وبرنامج تجسس مالي يراقب العمليات النشطة المتعلقة بالبنوك البرازيلية ومحافظ العملات المشفرة.
من خلال الجمع بين الرسائل الآلية وتنفيذ الحمولات في الذاكرة فقط، تظل البرمجية الخبيثة غير مكتشفة، بينما تقوم باختراق أجهزة الضحايا وشبكات اتصالاتهم بالكامل.
تقدم الحملة أيضًا مثبت MSI يقوم بإسقاط سكربت AutoIt إلى جانب ملفات حمولة مشفرة. هذا المكون الثانوي يقوم بإنشاء استمرارية عبر تعديلات السجل ويراقب باستمرار نوافذ الضحية النشطة بحثًا عن كلمات مفتاحية متعلقة بالبنوك.
عند اكتشاف مؤسسات مالية محددة أو تطبيقات محافظ العملات المشفرة، تقوم البرمجية الخبيثة بفك تشفير وتحميل برنامج التجسس الخاص بها مباشرة إلى الذاكرة، متجاوزة بذلك عمليات الكتابة على القرص وتجعل طرق الكشف التقليدية غير فعالة.
تفاصيل تقنية لآلية الإصابة
يبدأ الإصابة عندما يتلقى الضحايا رسائل بريد إلكتروني تصيدية تحتوي على ملفات VBScript مؤرشفة بصيغة ZIP، تستخدم ترميز الأحرف وتشفير XOR للتهرب من الكشف المستند إلى التوقيع.
يستخدم النص البرمجي استراتيجية إخفاء متعددة الطبقات، حيث يبني السلاسل حرفًا بحرف باستخدام دوال Chr() ثم يطبق عمليات XOR بقيم محددة لفك تشفير الأوامر الخبيثة الفعلية.
بعد فك الإخفاء، يقوم النص البرمجي بتنزيل مكونين: ملف MSI وملف VBS آخر. يحتوي ملف VBS الذي تم تنزيله على أنماط إخفاء متطابقة ويقوم بإسقاط سكربت دفعي يقوم بتثبيت حزم Python و ChromeDriver و Selenium.
هذا الإعداد الآلي يخلق البنية التحتية اللازمة لأتمتة واتساب دون الحاجة إلى تدخل يدوي من المستخدم.
يتولى النص البرمجي Python، المسمى whats.py، التحكم في جلسة واتساب ويب الخاصة بالضحية عن طريق نسخ بيانات ملف تعريف المتصفح، بما في ذلك ملفات تعريف الارتباط، والتخزين المحلي، وملفات IndexedDB، إلى دليل مؤقت.
باستخدام الوسيط user-data-dir الخاص بـ Selenium، يقوم النص البرمجي بتشغيل Chrome بهذه بيانات الاعتماد المنسوخة، مما يتجاوز بشكل فعال خطوة مصادقة رمز الاستجابة السريعة التي تحمي عادةً الوصول إلى واتساب ويب.
بمجرد المصادقة، تقوم البرمجية الخبيثة بحقن JavaScript مساعد من GitHub في سياق صفحة واتساب ويب، مما يتيح الوصول إلى وظائف واجهة برمجة التطبيقات الداخلية مثل WPP.contact.list و WPP.chat.sendTextMessage و WPP.chat.sendFileMessage.
يقوم النص البرمجي بعد ذلك بجمع قائمة جهات اتصال الضحية، مع تصفية المجموعات وحسابات الأعمال وجهات الاتصال ذات أنماط أرقام محددة يحددها المهاجمون.
يتم تجميع جهات الاتصال المجمعة هذه وإرسال ملفات ZIP ضارة تحتوي على المرحلة التالية من العدوى بشكل منهجي، مما يؤدي إلى استمرار الحملة عبر شبكات الضحايا مع إرسال سجلات مفصلة مرة أخرى إلى خادم PHP الخاص بالمهاجم.
تابعنا عبر Google News، LinkedIn، و X للحصول على آخر التحديثات الفورية، واجعل CSN مصدرك المفضل في Google.