عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة حملة برمجيات خبيثة على واتساب

حملة برمجيات خبيثة على واتساب

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:

يستخدم مجرمو الإنترنت الرسائل المباشرة في واتساب لتوزيع ملفات برمجية خبيثة مكتوبة بلغة فيجوال بيسك سكريبت (VBScript)، والتي تقوم في نهاية المطاف بتثبيت برامج مراقبة وإدارة عن بُعد (RMM) شرعية على الأنظمة المخترقة. استهدفت هذه الحملة مستخدمي واتساب على سطح المكتب وواتساب ويب في عدة دول، منها ماليزيا والبرازيل والهند والمكسيك وسنغافورة والمملكة المتحدة وإسبانيا وتايوان وأستراليا وروسيا وفيتنام. وسجلت ماليزيا أعلى عدد من المستخدمين المتضررين.

يشتبه الباحثون في أن المهاجمين تمكنوا من الوصول غير المصرح به إلى عدة حسابات على واتساب، ثم استغلوا هذه الحسابات المخترقة لإرسال ملفات خبيثة إلى جهات اتصالهم. مع ذلك، لا تزال الطريقة الدقيقة المستخدمة لاختراق هذه الحسابات مجهولة.

مُقنّعة كوثائق تجارية

يعتمد المهاجمون على الهندسة الاجتماعية لإقناع الضحايا بفتح الملفات الخبيثة. تُخفى مرفقات VBScript على هيئة مستندات تجارية ومالية شرعية، وتستخدم أسماء ملفات مقنعة مثل "Financial Reports.vbs" و"Account Statement.vbs". ولدعم الانتشار الدولي للحملة، تظهر بعض الملفات بلغات تشمل البرتغالية والفرنسية والألمانية والماليزية.

تتميز هذه البرامج النصية بتشفيرها الشديد، وتحتوي على تعليقات وبيانات وصفية مطولة مصممة لمحاكاة مكونات تحديثات مايكروسوفت ويندوز الأصلية. العديد من التعليقات مكتوبة باللغة الصينية وتشير إلى وظائف مثل:

  • وحدات تحديث ويندوز
  • إجراءات التحقق من صحة الشهادة
  • فحوصات سلامة النظام
  • العمليات المتعلقة بالنشر

تهدف هذه العناصر إلى جعل الملفات تبدو شرعية وإعاقة التحليل الأمني.

سلسلة العدوى متعددة المراحل تتيح الوصول عن بعد

بمجرد تشغيل البرنامج النصي الخبيث عبر ملف "WScript.exe"، يبدأ عملية إصابة متعددة المراحل عن طريق تنزيل وتشغيل مكونات VBScript إضافية. الهدف الرئيسي للبرنامج النصي الأولي هو استرداد حمولتين ثانويتين من خادم بعيد. تحاول إحدى الحمولتين التلاعب بسلوك نظام التحكم في حساب المستخدم (UAC) في ويندوز، بينما تقوم الأخرى بتنزيل وتشغيل ملف مضغوط (ZIP) يحتوي على حزمة تثبيت ManageEngine RMM Central.

إن التثبيت الناجح لبرنامج إدارة المراقبة عن بعد الشرعي يمنح المهاجمين إمكانيات الوصول عن بعد، مما يمكنهم من التحكم في نظام الضحية.

مسارات تنفيذ مختلفة على واتساب ويب وسطح المكتب

تختلف عملية الإصابة باختلاف منصة واتساب المستخدمة. ففي واتساب ويب، يُطلب من الضحايا تنزيل الملف وفتحه يدويًا من مجلد التنزيلات أو سجل المتصفح، ظنًا منهم أنه ملف أصلي.

في المقابل، يسمح تطبيق واتساب لسطح المكتب للبرمجيات الخبيثة بالعمل مباشرةً داخل بيئة المستخدم. ويُظهر تحليل العمليات أن عملية "WhatsApp.Root.exe"، وهي عملية الخلفية للتطبيق، مسؤولة عن تشغيل "WScript.exe"، الذي يبدأ بدوره سلسلة العمليات الخبيثة.

احتمالية وجود صلات بعمليات برمجيات خبيثة سابقة

على الرغم من عدم نسب الحملة رسميًا إلى جماعة تهديد محددة، فقد رصد المحققون تداخلات في البنية التحتية مع أنشطة خبيثة سابقة مرتبطة بعائلتي برامج Gh0st RAT وValleyRAT الخبيثة. تشير هذه التشابهات إلى أن العملية قد تتشارك في الموارد أو الأساليب مع حملات إجرامية إلكترونية سابقة.

احتياطات أساسية لمستخدمي واتساب

ينصح خبراء الأمن المستخدمين بتوخي الحذر عند تلقي مرفقات غير متوقعة عبر واتساب، حتى لو بدت الرسائل وكأنها واردة من جهات اتصال موثوقة. يجب عدم فتح أنواع الملفات التالية إلا بعد التأكد من صحتها بشكل مستقل:

  • ملفات نصية VBS و VBE
  • الملفات التنفيذية مثل EXE وBAT وCMD
  • التنسيقات القائمة على البرامج النصية بما في ذلك JS و PS1

يُعد التحقق من المرفقات قبل فتحها أحد أكثر وسائل الدفاع فعالية ضد حملات البرامج الضارة التي تستغل منصات الاتصال الموثوقة.

جار التحميل...