البرازيل تواجه زيادة في هجمات دودة واتساب المستهدفة لمجال العملات الرقمية والتطبيقات المصرفية

حملة جديدة تم تحديدها تعتمد على واتساب، تتضمن ديدان وبرامج خبيثة في البرازيل تقوم بتهديد محافظ العملات المشفرة وحسابات البنوك من خلال مجموعة البرمجيات الخبيثة التي تنتشر بسرعة والتي يطلق عليها اسم إيتيرناد.

باحثون يحددون تهديدًا متعدد المراحل جديدًا

تم تحذير مستخدمي العملات الرقمية في البرازيل من عملية جديدة للبرمجيات الخبيثة تستغل اختراق WhatsApp لنشر برنامج مصرفي مصمم لجمع بيانات الاعتماد المالية. وقد كشف باحثو Trustwave SpiderLabs أن الحملة تدور حول سارق تم تحديده حديثًا يعرف باسم Eternidade، وهو برنامج برمجي قائم على Delphi قادر على تحديث بنية القيادة والتحكم الخاصة به بشكل ديناميكي وجمع البيانات من الضحايا بشكل سري.

لاحظ الباحثون ناثانييل موراليس، جون باسمايور، ونيكيتا كازيميرسكي أن واتساب لا يزال مركزياً في نظام الجرائم الإلكترونية في البرازيل، حيث ذكروا،

“تستمر واتساب في كونها واحدة من أكثر قنوات الاتصال استغلالًا في نظام الجرائم الإلكترونية في البرازيل. على مدى العامين الماضيين، قام المهاجمون بتحسين تكتيكاتهم، مستغلين الشعبية الكبيرة للمنصة لتوزيع أحصنة طروادة المصرفية والبرمجيات الخبيثة التي تسرق المعلومات.”

كيف تعمل سلسلة العدوى

وفقًا لفريق البحث، تبدأ العملية الجارية برسائل الهندسة الاجتماعية التي يتم توصيلها عبر واتساب. هذه الطعوم تحاكي التنسيقات المألوفة، مثل إشعارات التوصيل، ومجموعات الاستثمار الاحتيالية، و"برامج الحكومة المزيفة"، لخداع المستلمين للنقر على الروابط الضارة.

عند النقر، يقوم الرابط بتفعيل نشر كل من دودة اختطاف trojan البنوك Eternidade. تأخذ الدودة على الفور السيطرة على حساب WhatsApp الخاص بالضحية، وتستخرج قائمة جهات الاتصال، وتستهدف بشكل انتقائي جهات الاتصال الفردية باستخدام “تصفية ذكية”، متجاوزة المجموعات التجارية لزيادة احتمالية المشاركة الشخصية.

في الوقت نفسه، يتم تنزيل ملف تروجان بصمت على الجهاز. يقوم هذا المكون بتثبيت Eternidade Stealer في الخلفية، مما يمكّن المهاجمين من البحث عن بيانات الاعتماد المرتبطة بالبنوك البرازيلية الكبرى، ومنصات التكنولوجيا المالية، ومراكز تبادل العملات المشفرة والمحافظ.

التحكم والتوجيه التكيفي عبر جيميل

واحدة من أبرز سمات الحملة هي طريقتها غير التقليدية في تلقي الأوامر المحدثة. بدلاً من الاعتماد على عناوين خادم ثابتة، تستخدم Eternidade بيانات اعتماد مشفرة لتسجيل الدخول إلى حساب Gmail عبر IMAP. وهذا يسمح للمهاجمين بإرسال تعليمات محدثة ببساطة من خلال إرسال بريد إلكتروني إلى الحساب المسيطر عليه.

أبرز الباحثون هذه التقنية في تقريرهم:

“تتمثل إحدى الميزات الملحوظة لهذه البرمجيات الخبيثة في أنها تستخدم بيانات الاعتماد المدمجة لتسجيل الدخول إلى حساب البريد الإلكتروني الخاص بها، والذي تستعيد منه خادم C2 الخاص بها. إنها طريقة ذكية جدًا لتحديث خادم C2 الخاص بها، والحفاظ على الاستمرارية، والتجنب الاكتشافات أو الإيقافات على مستوى الشبكة. إذا لم تتمكن البرمجيات الخبيثة من الاتصال بحساب البريد الإلكتروني، فإنها تستخدم عنوان C2 احتياطي مدمج.”

نشاط البرمجيات الخبيثة ذات الصلة

تتبع عملية Eternidade عن كثب موجة أخرى من البرمجيات الخبيثة التي تركز على البرازيل والمعروفة باسم Water Saci، والتي استخدمت دودة WhatsApp Web تُدعى SORVEPOTEL لنشر Maverick، وهو حصان طروادة مصرفي يعتمد على .NET مرتبط بالإصدارات السابقة من البرمجيات الخبيثة Coyote. تؤكد هذه الحوادث على اتجاه مستمر في المنطقة: استخدام WhatsApp كوسيلة رئيسية والاعتماد المستمر على أدوات قائمة على Delphi لتطوير البرمجيات الخبيثة.

توصيات السلامة

ينصح خبراء الأمن مستخدمي WhatsApp بتجنب النقر على الروابط غير المألوفة، حتى عندما يتم إرسالها بواسطة جهات اتصال موثوقة. يُوصى بتأكيد الرسائل المشبوهة من خلال قنوات اتصال بديلة، خاصة عندما يكون هناك القليل من السياق المصاحب للرابط.

إخلاء المسؤولية: هذه المقالة مقدمة لأغراض المعلومات فقط. لا يتم تقديمها أو القصد منها أن تُستخدم كنصيحة قانونية أو ضريبية أو استثمارية أو مالية أو نصيحة أخرى.