اكتشف باحثو Trustwave SpiderLabs جامعين للبيانات المصرفية، يُعرفان باسم Eternidade Stealer، ينتشران عبر اختراق واتساب وتكتيكات الهندسة الاجتماعية. يمثل هذا البرنامج الضار، المكتوب بلغة Delphi، تطوراً مهماً في المشهد السيبراني الإجرامي، حيث يجمع بين حصاد جهات الاتصال المتقدم وسرقة بيانات اعتماد المستخدمين التي تستهدف المؤسسات المالية.
ينشأ هذا التهديد من سلسلة عدوى متعددة المراحل تبدأ ببرنامج نصي VBScript مشفر يتم إرساله عبر رسائل واتساب. عند تشغيل هذا البرنامج النصي، يقوم بتنزيل ملف دفعي يحتوي على حمولتين أساسيتين: دودة واتساب تعتمد على Python، ومثبت MSI يقوم بنشر برامج المحصّلات المصرفية.
برنامج Eternidade Stealer الخبيث: تهديد جديد عبر واتساب
يستغل هذا الأسلوب التوزيعي الطبيعة الموثوقة لمنصة المراسلة، مما يجعل المستخدمين أكثر عرضة للتفاعل مع المرفقات الضارة التي يتبادلونها مع جهات الاتصال الخاصة بهم، والتي قد تكون حساباتها قد تعرضت للاختراق. لاحظ محللو الأمن في Trustwave أن البرامج الضارة تظهر تطوراً ملحوظاً في استهداف الضحايا البرازيليين على وجه التحديد.
يستخدم البرنامج الخبيث فحوصات جغرافية للتحقق من أن لغة نظام التشغيل هي البرتغالية البرازيلية قبل المتابعة في عملية العدوى. إذا لم تتطابق لغة النظام، يعرض البرنامج الخبيث رسالة خطأ وينتهي، مما يمنع الإصابات العرضية خارج منطقته المستهدفة ويتجنب الكشف في البيئات الافتراضية (sandbox).
آلية عمل Eternidade Stealer
تتضمن الوظيفة الأساسية لـ Eternidade Stealer سرقة قوائم جهات اتصال WhatsApp بأكملها من خلال وظيفة obter_contatos()، والتي تنفذ رمز JavaScript باستخدام واجهة برمجة التطبيقات WPP.contact.list(). يقوم البرنامج الخبيث بذكاء بتصفية المجموعات، وجهات الاتصال التجارية، وقوائم البث، مع التركيز بشكل خاص على جهات الاتصال الشخصية الفردية التي من المرجح أن تقع ضحية لرسائل التصيد الاحتيالي.
يشمل كل سجل اتصال مسروق معرف WhatsApp الكامل، واسم جهة الاتصال، ورقم الهاتف، وما إذا كان جهة الاتصال محفوظة. بعد الجمع، يرسل البرنامج الخبيث هذه البيانات فوراً إلى خادم القيادة والتحكم عبر طلبات HTTP POST دون تدخل المستخدم.
ما يجعل Eternidade Stealer خطيراً بشكل خاص هو آلية الاستمرارية المزدوجة الطبقات. يستخدم البرنامج الخبيث بيانات اعتماد ثابتة للاتصال عبر IMAP بحساب بريد إلكتروني يتحكم فيه الجهات الفاعلة الشريرة. يستخرج عنوان خادم القيادة والتحكم من مواضيع وأجسام رسائل البريد الإلكتروني، مما يسمح للمهاجمين بتحديث بنيتهم التحتية ديناميكياً والحفاظ على الاتصالات حتى لو تم الاستيلاء على نطاقات محددة.
يستهدف البرنامج الخبيث أكثر من 40 مؤسسة مالية برازيلية، وخدمات دفع مثل MercadoPago، ومنصات تداول العملات المشفرة، بما في ذلك Binance و Coinbase. عندما يصل الضحية إلى تطبيق مصرفي مستهدف، يقوم البرنامج الخبيث بتنشيط قدرته على عرض شاشات تسجيل دخول وهمية مصممة لسرقة بيانات الاعتماد بسلاسة.
تقوم قدرات استطلاع النظام بجمع معلومات، بما في ذلك تفاصيل نظام التشغيل، وبرامج مكافحة الفيروسات المثبتة، وعناوين IP العامة والمحلية، والعمليات قيد التشغيل. يساعد هذا الاستطلاع الجهات الفاعلة الشريرة في تحديد ما إذا كان يجب المتابعة في سرقة بيانات الاعتماد أو نشر تراكبات مصرفية.
كشفت التحقيقات أن بنية تحتية لأحد الجهات الفاعلة الشريرة سجلت 454 محاولة اتصال على مستوى العالم، مع حركة مرور كبيرة من الولايات المتحدة ودول أوروبية، مما يشير إلى طموحات هجومية أوسع تتجاوز حدود البرازيل.