تصوير تعتقد شركات الأمن السيبراني CyberProof و Trend Micro و Sophos و Kaspersky أن برنامج Maverick يهاجم مستخدمي WhatsApp web من خلال الجمع بين Visual Basic Script و PowerShell مع أتمتة المتصفح لاختطاف الحسابات وإرسال ملفات ZIP ضارة إلى جهات الاتصال.
فريق مركز عمليات الأمن السيبراني التابع لشركة CyberProof بالتحقيق dent تم فيها تنزيل ملف مشبوه عبر واجهة الويب الخاصة بتطبيق واتساب. كان الملف عبارة عن أرشيف مضغوط (ZIP) باسم NEW-20251001_152441-PED_561BCF01.zip.
استعادوا قيم التجزئة SHA1 aa29bc5cf8eaf5435a981025a73665b16abb294e وSHA256 949be42310b64320421d5fd6c41f83809e8333825fb936f25530a125664221de. عندما يقوم الضحايا بتشغيل اختصار (LNK) داخل الأرشيف، يتم فك تشفير التعليمات البرمجية لإنشاء وتشغيل إما cmd أو PowerShell، وتتصل الأوامر بخادم المهاجم لجلب حمولة المرحلة الأولى.
بحسب منشور على مدونة فريق أبحاث CyberProof يوم الاثنين الماضي، يحتوي برنامج التحميل على رموز مجزأة مدمجة مع ترميز Base64 وUTF-16LE لـ PowerShell. يتحقق البرنامج من وجود أدوات الهندسة العكسية، وفي حال وجود محللين، يتوقف تلقائيًا. وإلا، فإنه يُحمّل دودة تُسمى SORVEPOTEL وحصان طروادة مصرفي يُعرف باسم Maverick.
وثّقت شركة تريند مايكرو لأول مرة برنامج مافريك، وهو حصان طروادة مصرفي يراقب نشاط الإنترنت، في أوائل الشهر الماضي، وربطته بجهة فاعلة أطلقت عليها اسم ووتر ساسي. أما برنامج سورفيبوتيل فهو برنامج خبيث ذاتي الانتشار ينتشر عبر واتساب ويب عن طريق إرسال ملف مضغوط يحتوي على شفرة خبيثة.
يقوم برنامج مافريك الخبيث بفحص علامات تبويب المتصفح النشطة بحثًا عن عناوين URL التي تتطابق مع قائمة مُبرمجة مسبقًا للمؤسسات المالية في أمريكا اللاتينية من البرازيل. في حال العثور على تطابق، يقوم البرنامج بجلب أوامر لاحقة من خادم بعيد ويطلب بيانات النظام لإرسال صفحات تصيد احتيالي تهدف إلى سرقة بياناتdent.
رصد فريق الأمن التابع لشركة كاسبرسكي، المتخصصة في برامج مكافحة الفيروسات، تشابهات برمجية بين برنامج مافريك الخبيث وبرنامج كويوت، وهو برنامج خبيث مصرفي أقدم. وأفادت شركة سوفوس البريطانية لبرامج الأمن أن هناك احتمالاً بأن يكون مافريك تطوراً لبرنامج كويوت، إلا أن كاسبرسكي تعتبره تهديداً مستقلاً لمستخدمي واتساب ويب في البرازيل.
كيف يخترق مافريك تطبيق واتساب ويب
أشارت أبحاث شركة CyberProof إلى أن الحملة تتجنب استخدام ملفات .NET الثنائية، مفضلةً استخدام VBScript وPowerShell. يحتوي ملف ZIP المضغوط على برنامج تنزيل VBScript مُشفر باسم Orcamento.vbs، والذي يربطه الباحثون بمنظمة SORVEPOTEL.
يقوم برنامج VBScript بتنفيذ أمر PowerShell لتشغيل ملف tadeu.ps1 مباشرةً في الذاكرة، بينما يقوم برنامج PowerShell الخبيث بأتمتة متصفح Chrome عبر ChromeDriver وSelenium. يستولي البرنامج على WhatsApp Web الخاصة بالضحية ويوزع ملف ZIP الخبيث على جميع جهات الاتصال.
يقوم البرنامج الخبيث بإنهاء أي عمليات تشغيل لمتصفح كروم ونسخ ملف تعريف كروم الشرعي إلى مساحة عمل مؤقتة قبل إرسال أي رسائل.
"تتضمن هذه البيانات ملفات تعريف الارتباط ورموز المصادقة وجلسة المتصفح المحفوظة، وتسمح للبرامج الضارة بتجاوز مصادقة WhatsApp Web لمنح المتسلل وصولاً فورياً إلى حساب WhatsApp الخاص بالضحية دون أي تنبيهات أمنية أو مسح رمز الاستجابة السريعة"، هذا ما خلصت إليه شركة Trend Micro الأمريكية اليابانية المتخصصة في برامج الأمن السيبراني.
بعد سيطرة البرنامج النصي على تطبيق الويب، يعرض لافتةً مضللةً تحمل اسم "WhatsApp Automation v6.0" لإخفاء نشاطه الجاري. يسترجع كود PowerShell قوالب الرسائل من خادم التحكم والسيطرة (C2) ويستخرج قائمة جهات اتصال الضحية.
تتكرر حلقة النشر عبر كل جهة اتصال تم جمعها قبل إرسال كل رسالة، وذلك بعد التحقق مما إذا كان مركز التحكم والسيطرة قد أصدر أمر إيقاف مؤقت. يتم تخصيص الرسائل عن طريق استبدال المتغيرات بتحيات وأسماء جهات الاتصال المرتبطة بالوقت.
تشير شركة تريند مايكرو أن الحملة تستخدم نظام تحكم عن بعد متطور يدعم الإدارة في الوقت الفعلي. ويمكن للمشغلين إيقاف عملية الانتشار مؤقتًا واستئنافها ومراقبتها لتنفيذ عمليات منسقة في الأجهزة المصابة.
لا يتم نشر برنامج مافريك الخبيث إلا بعد التأكد من وجود العميل في البرازيل
أكدت شركتا Cyberproof وTrend Micro أن نظام Maverick لا يُثبّت إلا بعد التأكد من وجود الجهاز المضيف في البرازيل، وذلك من خلال فحص المنطقة الزمنية واللغة ومنطقة النظام وتنسيق التاريخ والوقت. كما وجدت الشركة الأخيرة أن النظام يقصر التنفيذ على الأنظمة الناطقة باللغة البرتغالية.
بحسب تقرير شركة تريند مايكرو، تتضمن بنية التحكم والسيطرة قنوات بريد إلكتروني، مما يزيد من موثوقيتها ويجعل اكتشافها صعباً. كما وجدت شركة سايبربروف أدلة على أن البرمجية الخبيثة استهدفت فنادق في البرازيل. وتخشى شركات الأمن أن يوسع المهاجم نطاق أهدافه ليشمل قطاع الضيافة، الذي يرتاده بكثرة أشخاص ذوو قيمة عالية.
ساعدت عمليات البحث في VirusTotal الفريق على جمع عينات ذات صلة وربط نتائجهم بأبحاث منشورة من Kaspersky وSophos وTrend Micro. ومع ذلك، كشف تحليلdent أجرته شركة الأمن CyberProof أنه تعذر رصد سلسلة العدوى بالكامل لأن الملفات من خادم التحكم والسيطرة لم تصل خلال التحقيق.
