تعزيز الذكاء الاصطناعي لهجمات واتس آب البرازيلية باستخدام بايثون

Khaled AlZahraniمنذ يومين

3 دقائق

AI Bolsters Python Variant of Brazilian WhatsApp Attacks

تسارع استخدام الذكاء الاصطناعي في الهجمات السيبرانية يمثل تحديًا جديدًا للمؤسسات المالية في البرازيل.

لقد تسارع المهاجمون وراء حملة البرمجيات الضارة ذاتية الانتشار التي تستهدف المؤسسات المالية البرازيلية، وقاموا بتحديث أنشطتهم الخبيثة، باستخدام الذكاء الاصطناعي (AI) لإنشاء نسخة بايثون مع تقنيات متقدمة في الانتشار والتجنب.

تعتبر “واتر ساكي”، وهي حملة تهدف إلى اختراق المؤسسات المالية وتبادلات العملات المشفرة في أمريكا اللاتينية، قد تطورت مع سلسلة هجمات متعددة الطبقات يتم توصيلها عبر واتس آب، ومن المحتمل أن تكون قد تعززت باستخدام تحويل الشيفرات المدفوع بالذكاء الاصطناعي، كما كشف الباحثون من تريند مايكرو يوم الأربعاء.

لقد صمم المهاجمون الهجمات الأخيرة – التي تسرق البيانات وتراقب نشاط سطح المكتب للمستخدمين عبر البرمجيات الضارة – لتجاوز الكشف القائم على الأنماط البسيطة وجعل التحليل أكثر تحديًا. لقد فعلوا ذلك من خلال استبدال وسيلة الانتشار السابقة الخاصة بهم، وهي PowerShell، بنسخة بايثون التي “تسمح بتوافق أوسع مع المتصفحات، وهيكلية كود موجهة للكائنات، وتحسين معالجة الأخطاء، وأتمتة أسرع لتوصيل البرمجيات الضارة عبر واتس آب ويب”، كما كتب باحثو تريند مايكرو في المنشور.

استهداف واتر ساكي للمؤسسات المالية

الهدف النهائي للحملة هو استهداف مجموعة متنوعة من المؤسسات المصرفية والعملات المشفرة بالمعلومات المسروقة من أجهزة الضحايا. وهي نشطة حاليًا بشكل رئيسي في البرازيل، ولكنها قد تنتشر إلى دول أمريكية لاتينية أخرى مع تطورها، كما قال الباحثون.

مرتبط: الصين تبحث عن طرق لتعطيل الإنترنت عبر الأقمار الصناعية

تظهر واتر ساكي بشكل عام “عصرًا جديدًا من التهديدات السيبرانية في البرازيل”، حيث يجمع المهاجمون بين التكتيكات النفسية مع توصيل البرمجيات الضارة المتقدمة التي يمكن أن تتكرر ذاتيًا وتتجنب الدفاعات الأمنية التقليدية، كما قالوا. هناك تهديد آخر على نفس الخطوط وهو حملة “إيتيرنيديد” في ذلك البلد التي كانت تهدف أيضًا إلى سرقة بيانات الاعتماد المصرفية، والتي تشترك في العديد من أوجه التشابه مع واتر ساكي.

“من خلال تسليح قنوات الاتصال المألوفة واتباع الهندسة الاجتماعية المتقدمة، يستطيع المهاجمون بسرعة اختراق الضحايا، وتجاوز الدفاعات التقليدية، والحفاظ على إصابات دائمة بواسطة تروجان مصرفي”، كتب الباحثون. “تظهر هذه الحملة كيف يمكن تحويل المنصات الشرعية إلى ناقلات قوية لتوصيل البرمجيات الضارة، وتؤكد على تزايد تعقيد عمليات الجرائم السيبرانية في المنطقة.”

تعزيز البرمجيات الضارة من خلال الذكاء الاصطناعي وبايثون

منذ اكتشافها، حدد باحثو تريند مايكرو واتر ساكي كحملة “عدوانية” تستخدم جلسات واتس آب النشطة لنشر ملف مضغوط خبيث تلقائيًا إلى جميع جهات الاتصال والمجموعات المرتبطة بحساب الضحية المخترق. الحمولة النهائية للحملة هي برمجيات ضارة تعرف باسم “سورفبوتيل”، والتي تنتشر عبر أنظمة ويندوز مع رسالة تتطلب من المستخدمين فتح سطح المكتب، مما يشير إلى تركيز على الشركات.

مرتبط: الولايات المتحدة تنشئ ‘قوة ضاربة’ للقضاء على مراكز الاحتيال في جنوب شرق آسيا

تأتي النسخة الأخيرة من الهجوم مزودة بسلسلة إصابة متعددة المراحل قوية تنتشر ليس فقط عبر الملفات المضغوطة الضارة ولكن أيضًا عبر مجموعة من الملفات الأخرى، بما في ذلك ملفات HTA ومثبتات MSI، كما قال الباحثون. نقطة الدخول الأولية لتوصيل البرمجيات الضارة تحدث عندما يتلقى مستخدمو واتس آب على سطح المكتب رسائل من جهات اتصال موثوقة، مما يؤدي إلى بدء الهجوم.

“أفاد بعض المستخدمين أنهم تلقوا ملفات أرشيف مضغوطة، مثل ملفات ZIP تحتوي على حمولات ضارة”، كتب الباحثون. “تم استهداف آخرون برسائل تشجعهم على تنزيل ما يبدو أنه مستندات PDF غير ضارة، وغالبًا ما تكون مصحوبة بإغراءات معقولة مثل الطلبات لتحديث Adobe Reader من أجل العرض الصحيح.”

يبدو أيضًا أن المهاجمين استخدموا أدوات الذكاء الاصطناعي مثل نماذج اللغة الكبيرة (LLMs) لتحويل نصوص انتشار البرمجيات الضارة الخاصة بهم من PowerShell إلى بايثون، مما يفسر القدرات الجديدة للنسخة في الرسائل الجماعية، وتحسين معالجة الأخطاء، وتعزيز مخرجات وحدة التحكم، كما أضاف الباحثون.

تتضمن النسخة أيضًا أتمتة متقدمة تعتمد على بايثون عبر واتس آب، وتدابير مضادة للتحليل، وآليات متانة قوية تمكن المهاجمين “من تحقيق أقصى قدر من الوصول مع تجنب الكشف والحفاظ على الوصول طويل الأمد إلى الأنظمة المخترقة”، كما كتبوا.

مرتبط: شركات الأمن السيبراني تشهد زيادة في الهجمات المدفوعة بالذكاء الاصطناعي عبر أفريقيا

دفاع تطبيق عملي

مع توفر مجموعة من الأدوات المعتمدة على الذكاء الاصطناعي للمهاجمين لإنشاء حملات هجوم معقدة، يحتاج المدافعون أيضًا إلى تسليح أنفسهم وفقًا لذلك لمكافحة التهديدات الحديثة. في حالة واتر ساكي، هناك بعض الجوانب العملية للنظافة الأساسية لاستخدام التطبيقات على الويب في المؤسسات التي يمكن أن تساهم بشكل كبير في هذه الاستراتيجية، كما أشار الباحثون.

نظرًا لأن المهاجمين يستخدمون تطبيق الدردشة الشائع واتس آب للوصول الأولي، أوصى تريند مايكرو بأن تلزم المؤسسات موظفيها بإلغاء تفعيل التنزيلات التلقائية على واتس آب لتقليل التعرض العرضي للملفات الضارة.

بالنسبة للأجهزة التي تديرها الشركات، يجب على الإداريين أيضًا الإشراف على التحكم في نقل الملفات من التطبيقات الشخصية مثل واتس آب، تيليجرام، أو ويترانسفير باستخدام سياسات أمان النقاط النهائية أو جدران الحماية لحظر أو تقييد نقل الملفات. إذا كانت المؤسسة تدعم BYOD، يجب على الإداريين فرض قوائم بيضاء صارمة للتطبيقات أو الحاويات لحماية البيئات الحساسة، كما أضاف الباحثون.

تشمل القيود الأخرى التي يمكن أن تنظر فيها المؤسسات للتخفيف من واتر ساكي والحملات المماثلة تقييد الوصول إلى البريد الإلكتروني الشخصي وتطبيقات المراسلة على الأجهزة المؤسسية، واستخدام بوابات الويب والبريد الإلكتروني مع تصفية URL لحظر المجالات المعروفة بأنها خبيثة. وإذا لم يكن ذلك ممارسة شائعة بالفعل، أضاف الباحثون، يجب على جميع المؤسسات فرض المصادقة متعددة العوامل (MFA) ونظافة الجلسات لجميع خدمات السحاب والويب لمنع اختطاف الجلسات.

مع تزايد تعقيد الهجمات، يجب على المؤسسات اتخاذ تدابير وقائية فعالة لحماية بياناتها.

الوسوم