حصان طروادة Water Saci Banking

تتطور عمليات الجرائم الإلكترونية باستمرار، وقد أظهرت الجهة التخريبية البرازيلية "واتر ساسي" تطورًا ملحوظًا في مستوى تطورها. وتستغل الحملات الأخيرة سلاسل عدوى متعددة الطبقات باستخدام ملفات HTA وملفات PDF وواتساب لنشر فيروس طروادة مصرفي، مستهدفةً المستخدمين البرازيليين بكفاءة غير مسبوقة.

سلسلة هجوم متعددة التنسيقات: من PowerShell إلى Python

تُمثل الموجة الأخيرة تحولًا كبيرًا في أساليب Water Saci. فبعد أن كان يعتمد سابقًا على PowerShell، يستخدم الآن مُصدر تهديدات يعتمد على Python ينشر البرامج الضارة بطريقة تشبه الدودة عبر WhatsApp Web.

تتضمن العناصر الرئيسية لسلسلة الهجوم المحسنة هذه ما يلي:

إغراءات PDF : يتلقى الضحايا ملفات PDF تطلب منهم تحديث Adobe Reader من خلال النقر فوق رابط ضار.

ملفات HTA : عند تنفيذها، تقوم هذه الملفات بتشغيل البرامج النصية Visual Basic التي تقوم بتشغيل أوامر PowerShell لجلب الحمولات، بما في ذلك برنامج التثبيت MSI للفيروسات الخبيثة والبرنامج النصي Python المسؤول عن انتشار WhatsApp.

يوضح هذا النهج متعدد الأشكال كيف طوّرت Water Saci آليات هجومها، مستخدمةً على الأرجح الذكاء الاصطناعي أو أدوات آلية لترجمة النصوص البرمجية من PowerShell إلى Python. وهذا يزيد من التوافق والسرعة والمرونة وسهولة صيانة برمجيات البرامج الضارة.

مُثبِّت MSI ومُحمِّل أحصنة طروادة المستند إلى AutoIt

يعمل مُثبِّت MSI كآلية توصيل لفيروس حصان طروادة المصرفي. يؤدي نص AutoIt الخاص به عدة وظائف أساسية:

• يتأكد من تشغيل مثيل واحد فقط من حصان طروادة عن طريق التحقق من ملف العلامة (executed.dat) وإخطار الخادم الذي يتحكم فيه المهاجم.
• يتحقق من إعدادات لغة النظام (البرتغالية - البرازيل) قبل البحث عن الملفات والتطبيقات المتعلقة بالخدمات المصرفية، بما في ذلك Bradesco، وWarsaw، وTopaz OFD، وSicoob، وItaú.
• يبحث في سجل Google Chrome عن الزيارات إلى البنوك البرازيلية الكبرى: Santander، وBanco do Brasil، وCaixa Econômica Federal، وSicredi، وBradesco.

يستخدم المُحمِّل تفريغ العمليات وتحميل PE الوسيط عبر ملفات TDA/DMP لحقن حصان طروادة في الذاكرة، محققًا بذلك التخفي والاستمرارية. عند إنهاء عملية حصان طروادة، يُعيد الحقن تلقائيًا عند وصول الضحية إلى موقع مصرفي.

وظيفة حصان طروادة: الاستطلاع العدواني وسرقة بيانات الاعتماد

يتمتع حصان طروادة Water Saci بقدرات متقدمة في مجال المراقبة والتحكم وسرقة البيانات، بما في ذلك:

• مراقبة عنوان النافذة للكشف عن المنصات المصرفية أو العملات المشفرة.
• إغلاق المتصفح قسراً لإعادة فتح المواقع الخاضعة لسيطرة المهاجم.
• استطلاع المضيف والنظام من خلال استعلامات WMI.
• تعديلات التسجيل للاستمرار.
• اتصال C2 للتحكم عن بعد.
• تتضمن العمليات المدعومة ما يلي:
• إرسال معلومات النظام
• التقاط لوحة المفاتيح والشاشة
• محاكاة نشاط الفأر
• عمليات الملفات (التحميل/التنزيل)
• تعداد النوافذ
• إنشاء تراكبات مصرفية وهمية

تعكس هذه الوظيفة أحصنة طروادة المصرفية التي تركز على أمريكا اللاتينية مثل Casbaneiro، مما يعكس الاستمرارية الهيكلية والسلوكية مع استخدام آليات تسليم أكثر تقدمًا.

نشر WhatsApp المستند إلى Python

من أبرز ابتكارات الحملة نص بايثون الذي ينشر البرمجيات الخبيثة عبر واتساب ويب باستخدام أداة أتمتة متصفح سيلينيوم. تشير الأدلة إلى أن ووتر ساسي ربما استخدم نماذج لغوية ضخمة أو أدوات ترجمة برمجية لنقل منطق نشر PowerShell الأصلي إلى بايثون. حتى أن مخرجات لوحة التحكم تتضمن رموزًا تعبيرية، مما يُبرز تطور النص الجديد.

من خلال استغلال ثقة واتس آب ونطاقه، يمكن لمجموعة Water Saci نشر البرامج الضارة على نطاق واسع، متجاوزة الدفاعات التقليدية ومهاجمة الضحايا بسرعة.

الخلاصة: عصر جديد من التهديدات السيبرانية القائمة على الرسائل

تُسلّط حملة Water Saci الضوء على اتجاهٍ مُتنامي: استغلال مُجرمي الإنترنت منصاتٍ شرعية، مثل واتساب، لنشر برمجياتٍ خبيثةٍ مُعقّدة. فمن خلال الجمع بين الهندسة الاجتماعية، وتطوير النصوص البرمجية بمساعدة الذكاء الاصطناعي، وإيصال البرمجيات الخبيثة على مراحل مُتعددة، يُمكن للمُخرِجين الحفاظ على استمرارية إصابة البنوك بأحصنة طروادة، مع التهرّب من ضوابط الأمن التقليدية.

وتؤكد هذه الحالة على الحاجة إلى زيادة اليقظة وتوفير حماية قوية لنقاط النهاية وزيادة وعي المستخدمين، وخاصة في مناطق مثل البرازيل، حيث تلعب منصات المراسلة دوراً محورياً في الاتصالات اليومية.