تحذير: دودة واتساب تنشر تروجان بنكي وتراسل جهات اتصالك

كشف باحثون في مجال الأمن السيبراني عن حملة جديدة خطيرة تستخدم تطبيق واتساب لنشر تروجان بنكي، حيث تقوم البرمجية الخبيثة بإرسال رسائل تلقائية لجهات الاتصال.

كيف تعمل دودة واتساب الجديدة؟

أطلق فريق البحث في Acronis على هذه الحملة اسم "Boto Cor-de-Rosa"، وهي تستهدف بشكل أساسي المستخدمين في البرازيل. وتعتمد البرمجية على آلية خبيثة للانتشار الذاتي.

وفقاً للتقارير التقنية التي تابعها تيكبامين، تقوم البرمجية بالوصول إلى قائمة جهات الاتصال في واتساب الخاص بالضحية. ثم تبدأ بإرسال رسائل ملغومة تلقائياً لكل جهة اتصال لتوسيع نطاق العدوى.

تطور تقني في برمجيات التجسس

تتميز هذه النسخة من تروجان "أستاروث" (Astaroth) بتعقيد تقني ملحوظ، حيث يجمع المهاجمون بين عدة لغات برمجية لضمان نجاح الهجوم:

• النواة الأساسية للتروجان مكتوبة لغة Delphi.
• برنامج التثبيت يعتمد على Visual Basic script.
• وحدة دودة واتساب الجديدة مطورة بالكامل بلغة Python.

هذا المزيج يظهر تطوراً في تكتيكات المهاجمين لاستخدام مكونات معيارية متعددة اللغات لتجنب الكشف.

ما هو تروجان أستاروث المصرفي؟

يُعرف أستاروث أيضاً باسم Guildma، وهو برمجية خبيثة متخصصة في سرقة البيانات البنكية تم رصدها منذ عام 2015. وتركز هجماتها بشكل أساسي على أمريكا اللاتينية.

في السابق، كانت مجموعات التهديد مثل PINEAPPLE وWater Makara تعتمد على رسائل البريد الإلكتروني التصيدية. لكن التحول لاستخدام واتساب كأداة توصيل للتروجانات البنكية يعد تكتيكاً جديداً يكتسب زخماً كبيراً.

حجم انتشار الهجوم عبر واتساب

أشارت تقارير حديثة من Sophos إلى تتبع حملة توزيع برمجيات خبيثة متعددة المراحل تحت اسم STAC3150. وقد استهدفت هذه الحملة مستخدمي واتساب بشكل مكثف:

• أكثر من 95% من الأجهزة المصابة كانت في البرازيل.
• تم رصد إصابات محدودة في الولايات المتحدة والنمسا.
• النشاط مستمر منذ سبتمبر 2025 على الأقل.

كيف تبدأ الإصابة؟

تبدأ العملية بوصول ملف مضغوط (ZIP) عبر رسالة واتساب. عند فك الضغط وتشغيل الملف، يواجه الضحية ما يلي:

• سكريبت Visual Basic يتخفى كملف بريء.
• تحميل سكريبتات PowerShell أو Python لجمع بيانات واتساب.
• تشغيل مثبت MSI لنشر التروجان في النظام.

ينصح فريق تيكبامين بضرورة الحذر الشديد عند التعامل مع الملفات المضغوطة المرسلة عبر تطبيقات المراسلة، حتى لو كانت من جهات اتصال معروفة، نظراً لقدرة هذه البرمجية على إرسال نفسها تلقائياً.