الخميس 11 يونيو 2026 02:45:29 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookالفريقAppاتصال
ArabicEnglishItaliano
البرمجيات الخبيثة والروبوتات

عندما يتحول واتساب وأوتلوك إلى شبكة ترحيل للبرمجيات الخبيثة

11 مايو 2026 11:31البرمجيات الخبيثة والروبوتاتSIGNALMONK

يُظهر حصان طروادة مصرفي برازيلي يُتابَع تحت الاسم REF3076 كيف يمكن للمهاجمين تحويل الدردشات والبريد المصادَق عليهما إلى قناة توزيع، لا مجرد طُعم.

إن صندوق بريد أو حساب مراسلة مخترق يكون ذا قيمة بحد ذاته. لكن عندما تتمكن البرمجيات الخبيثة من إعادة استخدام تلك الجلسة الحية للوصول إلى أشخاص آخرين، يتغير شكل الخطر: يمكن أن تصبح إصابة واحدة نقطة ترحيل للإصابة التالية. ويُعد TCLBANKER، وهو حصان طروادة مصرفي برازيلي مرتبط بحملة REF3076، مثالاً على ذلك.

حقائق سريعة

  • يوصف TCLBANKER بأنه حصان طروادة مصرفي برازيلي مرتبط بحملة REF3076.
  • تستخدم البرمجية الخبيثة وحدات ذاتية الانتشار وتقنيات مراوغة.
  • يُعد واتساب ومايكروسوفت أوتلوك جزءاً من مسار توزيعها.
  • ترتبط الحملة بالاستهداف المالي وبأنماط برمجيات خبيثة سابقة ركزت على البرازيل.
  • المخاطرة الأساسية هي إساءة استخدام الثقة: يمكن لحسابات المستخدمين الحقيقية أن تجعل الرسائل الخبيثة تبدو شرعية.

لماذا تهم هذه الحملة

التحول التقني هنا لا يقتصر على سرقة بيانات الاعتماد. فالتصميم المبلغ عنه يمزج سلوك الاحتيال المصرفي بمنطق الانتشار الذي يمكنه إعادة استخدام جلسة WhatsApp Web المصادَق عليها التابعة للضحية وحساب Outlook. وهذا مهم لأن الرسائل المرسلة من حساب حقيقي غالباً ما ترث السمعة والسياق والإلحاح الذي لا يستطيع الانتحال البسيط الوصول إليه.

عملياً، هذا أقرب إلى اختطاف الثقة منه إلى التصيد التقليدي. فالمستلم يكون أقل ميلاً للتشكيك في مرفق أو طلب إذا بدا أنه صادر عن جهة اتصال معروفة. وهذا لا يعني أن المنصات نفسها معطلة؛ بل يعني أن المهاجم يستغل جلسة المستخدم وهويته وعاداته في التواصل.

وتوصف الحملة أيضاً بأنها تستخدم إجراءات لمكافحة التحليل وفحوصات قائمة على الموقع الجغرافي. ومن منظور دفاعي، يشير ذلك إلى أن البرمجية الخبيثة تحاول تجنب بيئات التحليل والحماية غير المستهدفة، ما قد يصعّب الفحص المبكر وقد يؤخر الاكتشاف حتى تصل إلى نقطة نهاية أكثر واقعية.

ما الذي ينبغي للمدافعين مراقبته

بالنسبة لفرق الطرفية، تكون الإشارات المهمة سلوكية: رسائل صادرة غير متوقعة، ودفعات مفاجئة من نشاط المراسلة، وسلوك غير معتاد لجلسات المتصفح، وسيطرة آلية على Outlook. وتوثق Microsoft أن Outlook يمكن أتمتته عبر واجهات برمجية، وهو أمر مفيد لسير العمل الشرعي لكنه يخلق أيضاً مساراً يمكن للبرمجيات الخبيثة استغلاله إذا تعرّضت محطة العمل للاختراق.

وتسلسل المرفقات مهم أيضاً. فإذا وصلت ملفّات خبيثة عبر دردشة موثوقة أو صندوق بريد موثوق، فيجب على أمن الطرفية والبريد ربط وصول الرسالة وتنفيذ الملف والنشاط الشبكي اللاحق بدلاً من الاعتماد على سمعة المرسل فقط. ويكتسب ذلك أهمية خاصة عندما يكون حساب الإرسال حقيقياً.

وهناك أيضاً درس أوسع في تسمية العائلة: يُقال إن TCLBANKER يرتبط بخطوط برمجيات خبيثة سابقة ركزت على البرازيل، بما في ذلك MAVERICK وSORVEPOTEL، وهو ما يعزز وجود نمط وليس حادثة منفردة. ولا يزال النطاق الكامل لأي انتشار خارج المنطقة المستهدفة المقصودة غير واضح، لذا فإن القراءة الأكثر أماناً هي اعتبار ذلك نموذج تهديد، لا تقييماً نهائياً للأثر.

الخلاصة

يذكّرنا TCLBANKER بأن البرمجيات الخبيثة الحديثة لا تحتاج إلى السيطرة على منصة كاملة كي تصبح خطيرة. أحياناً يكفيها مجرد جلسة حقيقية واحدة، وحساب موثوق واحد، ونقرة واحدة متهورة لتحويل الثقة البشرية إلى آلية تسليم. والدرس بسيط: لم يعد صندوق البريد ونافذة الدردشة مجرد أدوات اتصال، بل أصبحا سطحين للهجوم.

WIKICROOK

  • حصان طروادة مصرفي: برمجية خبيثة مصممة لسرقة البيانات المصرفية أو التلاعب بجلسات المصرفية.
  • وحدة ذاتية الانتشار: مكوّن يساعد البرمجية الخبيثة على الانتشار من حساب مخترق إلى آخر.
  • أتمتة Outlook: التحكم البرمجي في Outlook عبر واجهات مدمجة يمكن للبرمجيات الخبيثة إساءة استخدامها.
  • اختطاف الجلسة: الاستيلاء على جلسة تطبيق مصادَق عليها بحيث تبدو الإجراءات وكأنها صادرة من المستخدم الحقيقي.
  • التقييد الجغرافي: فحوصات قائمة على الموقع تحد من سلوك البرمجية الخبيثة أو تغيّره بحسب الجهاز أو منطقة الشبكة.
SIGNALMONK
الكاتبSIGNALMONK

البرمجيات الخبيثة والروبوتات