كشف تقرير حديث عن حملة اختراق متطورة تستهدف مستخدمي واتساب ويب في البرازيل، تحمل اسم “Water Saci”، مستغلّةً أدوات الذكاء الاصطناعي لشن هجمات واسعة النطاق تهدف إلى سرقة البيانات المالية الهامة. تم رصد هذه الحملة من قبل خبراء الأمن السيبراني، مما يسلط الضوء على تزايد المخاطر التي تواجه المنصات الرقمية الشائعة.
تعتمد الحملة على اختراق حسابات المستخدمين الآمنة على واتساب ويب، ومن ثم إرسال رسائل محملة بملفات خبيثة إلى جهات الاتصال الموثوقة. هذا التكتيك، الذي يعتمد على الهندسة الاجتماعية، يهدف إلى تجاوز إجراءات الأمان التقليدية وتقصير سلسلة العدوى، مؤثراً على عدد كبير من الأفراد غير المطلعين على طبيعة الهجوم.
تبدأ سلسلة العدوى عادةً عندما يتلقى الضحية رسالة تحتوي على مرفقات مشبوهة، مثل ملفات ZIP، أو مستندات PDF تبدو كأنها تحديثات لبرنامج Adobe، أو ملفات HTA مباشرة تحمل أنماط تسمية عشوائية. هذه الطريقة تزيد من احتمالية فتح المرفقات من قبل المستخدمين الواثقين.
بعد فتح هذه الملفات، يتم تنفيذ تسلسل هجوم معقد ومتعدد المراحل، يشمل نصوص برمجية من Visual Basic وملفات MSI للتثبيت. هذه العملية تهدف إلى تنزيل برمجيات خبيثة تستهدف البنوك بشكل خفي، بالتزامن مع نشر نصوص برمجية لأتمتة اختطاف جلسة واتساب الخاصة بالضحية، مما يضمن انتشاراً واسعاً.
Water Saci: الذكاء الاصطناعي يعزز الهجمات على واتساب ويب
يشير محللو الأمن في Trend Micro إلى أن هذه الحملة تمثل تحولاً استراتيجياً في تطوير البرمجيات الخبيثة، حيث تستفيد بشكل كبير من قدرات الذكاء الاصطناعي لتسريع فعاليتها. يبدو أن المهاجمين استخدموا نماذج اللغات الكبيرة (LLMs) لترجمة وتحسين التعليمات البرمجية الخاصة بالانتشار، والانتقال من بيئة PowerShell إلى بنية تحتية أكثر قوة تعتمد على Python.
هذا التحول الاستراتيجي يعزز بشكل كبير قدرة المهاجمين على نشر البرمجيات الخبيثة عبر متصفحات مختلفة، بما في ذلك Chrome وEdge و Firefox. هذا التنوع في الأهداف يجعل اكتشاف الهجمات صعباً على بروتوكولات الأمن القياسية، ويترك المستخدمين عرضة للخطر.
الكشف عن استخدام الذكاء الاصطناعي في أكواد البرمجيات الخبيثة
يُعد نص whatsz.py البرمجي عنصراً حاسماً في هذا التطور التقني، حيث يحل محل سابقه المبني على PowerShell. تشير التحليلات إلى وجود أدلة قوية على البرمجة بمساعدة الذكاء الاصطناعي، مثل رؤوس النصوص البرمجية التي تذكر صراحةً “Versao Python Convertido de PowerShell” (إصدار Python محوّل من PowerShell)، وتعليقات تؤكد على “version optimized with errors handling” (إصدار محسّن مع معالجة الأخطاء).
يعتمد هذا النص البرمجي على ملفات مكونة مثل chromedriver.exe لأتمتة عملية العدوى. يستخدم النص البرمجي Selenium لحقن مكتبة WA-JS، واستخراج قوائم جهات الاتصال، وإرسال الملفات الخبيثة بكميات كبيرة إلى ضحايا غير مدركين.
تُظهر أكواد Python بنية برمجية موجهة للكائنات بشكل متطور، مع معالجة أخطاء متقدمة، وهي ميزات غالباً ما تكون غائبة في عمليات النقل اليدوية السريعة. هذا المستوى من الدقة في كتابة الأكواد يشير إلى استخدام أدوات مساعدة متقدمة.
على سبيل المثال، تقوم فئة الأتمتة الرئيسية بتحديد تنسيق واضح لحالات مختلفة، مما يضمن تنفيذاً موثوقاً. بالإضافة إلى ذلك، يتضمن خرج وحدة التحكم رموزاً تعبيرية ملونة، وهو سمة نادرة في البرمجيات الخبيثة القياسية ولكنه شائع في قواعد الأكواد التي يتم إنشاؤها بواسطة الذكاء الاصطناعي.
تسمح هذه الأتمتة المتقدمة للبرمجيات الخبيثة بالعمل بشكل مستقل، مع إيقاف واستئناف المهام للتكيف مع حركة مرور الشبكة العادية، وتنقل التقدم إلى خادم القيادة والتحكم، مما يضمن الوصول المستمر.