قراصنة يستغلون واتساب لتثبيت برامج ضارة سراً لجمع السجلات وتفاصيل الاتصال

 

 

 ظهرت حملة برمجيات خبيثة جديدة تستهدف المستخدمين البرازيليين، مستخدمةً واتساب كقناة توزيع رئيسية لنشر أحصنة طروادة مصرفية وجمع معلومات حساسة.

يستغل هذا الهجوم المتطور الهندسة الاجتماعية مستغلاً ثقة الضحايا بجهات اتصالهم الحالية، مما يجعل الملفات الخبيثة تبدو وكأنها أصلية.

 تبدأ الحملة برسائل بريد إلكتروني احتيالية تحتوي على نصوص VBS مؤرشفة تستخدم تقنيات تشويش متقدمة لتجنب اكتشافها بواسطة برامج الأمان.

بمجرد تشغيل الحمولة الأولية، تقوم بتنزيل وتثبيت Python ومكونات S l m WebDriver، مما يتيح التفاعل التلقائي مع WhatsApp Web.

ثم تقوم البرمجية الخبيثة بحقن شيفرة JavaScript خبيثة في جلسة متصفح الضحية، والوصول إلى واجهات برمجة التطبيقات الداخلية لـ WhatsApp لإحصاء جهات الاتصال وتوزيع الحمولة.

يسمح هذا النهج للمهاجمين بنشر العدوى دون الحاجة إلى مصادقة رمز الاستجابة السريعة (QR Code) عن طريق اختراق جلسات تسجيل الدخول الحالية عن طريق نسخ ملفات تعريف ارتباط المتصفح وبيانات التخزين المحلية.

   هذا النوع كجزء من حملة W t r S c i الأوسع نطاقًا، والتي تستهدف بنشاط المؤسسات المالية في جميع أنحاء البرازيل.

تستخدم سلسلة الهجمات برنامجًا نصيًا للتوزيع قائمًا على بايثون وبرنامجًا طروادة مصرفيًا يراقب نوافذ Windows النشطة المتعلقة بالبنوك البرازيلية ومحافظ العملات المشفرة.

من خلال الجمع بين الرسائل الآلية وتنفيذ حمولة الذاكرة فقط، يظل البرنامج الخبيث غير مكتشف، ويستهدف بشكل رئيسي أجهزة الضحايا وشبكات الاتصال الخاصة بهم بالكامل.

توفر الحملة أيضًا مُثبّت MSI يُحمّل برنامجًا نصيًا A I t إلى جانب ملفات الحمولة المشفرة. يُرسخ هذا المكون الثانوي استمرارية البرنامج من خلال تعديلات السجل، ويراقب باستمرار نوافذ الضحية النشطة بحثًا عن الكلمات الرئيسية المتعلقة بالخدمات المصرفية.

عند اكتشاف مؤسسات مالية أو تطبيقات محفظة عملات مشفرة محددة، يقوم البرنامج الخبيث بفك تشفير حصان طروادة المصرفي الخاص به وتحميله مباشرةً في الذاكرة، متجاوزًا عمليات الكتابة على الأقراص، مما يُبطل فعالية أساليب الكشف التقليدية القائمة على الملفات.

التحليل الفني لآلية العدوى

تبدأ العدوى عندما يتلقى الضحايا رسائل بريد إلكتروني احتيالية تحتوي على ملفات نصية VBS مؤرشفة بصيغة ZIP، والتي تستخدم ترميز الأحرف وتشفير XOR لتجنب الكشف القائم على التوقيع.

يستخدم البرنامج النصي استراتيجية تعتيم متعددة الطبقات، حيث يبني سلاسل نصية حرفًا حرفًا باستخدام دوال Chr()، ثم يُطبق عمليات XOR بقيم محددة لفك تشفير الأوامر الخبيثة الفعلية.

 

بعد إزالة التعتيم، يُنزّل البرنامج النصي مكونين: ملف MSI وملف VBS آخر. يحتوي ملف VBS المُنزّل على أنماط تعتيم متطابقة، ويُحمّل نصًا برمجيًا دفعيًا يُثبّت حزم Python وC r eDriver وS l m.

يُنشئ هذا الإعداد التلقائي البنية التحتية اللازمة لأتمتة WhatsApp دون الحاجة إلى تدخل المستخدم اليدوي.

يتحكم نص بايثون، المسمى whats.py، بجلسة واتساب ويب للضحية عن طريق نسخ بيانات ملف تعريف المتصفح، بما في ذلك ملفات تعريف الارتباط، والتخزين المحلي، وملفات I x  d D B، إلى مجلد مؤقت.

باستخدام وسيطة u -d a- dir في S lm، يُشغّل النص البرمجي متصفح كروم باستخدام بيانات الاعتماد المنسوخة، متجاوزًا بذلك خطوة مصادقة رمز الاستجابة السريعة التي تحمي عادةً الوصول إلى واتساب ويب.

arquivos_copiar = [

"Cookies", "Cookies-journal",
"Local Storage", "Session Storage",
"IndexedDB", "Service Worker"
]
options.add_argument(f”–user-data-dir={perfil_temp}”)

بمجرد المصادقة، يقوم البرنامج الخبيث بحقن جافا سكريبت مساعد من G H b في سياق صفحة ويب واتساب، مما يتيح الوصول إلى وظائف واجهة برمجة التطبيقات الداخلية مثل W P. ct.list وW P.chat. T  Message وWP.chat.se dFileMe g e.

يقوم البرنامج النصي بعد ذلك بجمع قائمة جهات اتصال الضحية، مع تصفية المجموعات وحسابات الأعمال وجهات الاتصال ذات أنماط الأرقام المحددة التي حددها المهاجمون.

يتم تجميع جهات الاتصال المحصودة هذه بشكل دفعي وإرسالها بشكل منهجي إلى ملفات ZIP ضارة تحتوي على المرحلة التالية من العدوى، مما يُديم الحملة عبر شبكات الضحايا مع إرسال سجلات مفصلة إلى خادم PHP الخاص بالمهاجم.