فيروس واتساب ‘إيترنيداد’: دودة خبيثة تنتشر في البرازيل

في عالم الأمن السيبراني، يظهر فيروس ‘إيترنيداد’ كتهديد خطير في البرازيل، حيث ينتشر عبر تطبيق واتساب ويستهدف المستخدمين بشكل مباشر.

يستمر انتشار فيروس “إيترنيداد” في البرازيل، حيث ينتشر كدودة عبر تطبيق واتساب، ويخدع المستخدمين للحصول على بياناتهم المصرفية.

تمكن المدير الأول لأبحاث الأمن كارل سيجلر وزملاؤه في LevelBlue من اختراق بنية القيادة والتحكم (C2) التي تدعم برنامج “إيترنيداد”. ووجدوا حوالي 10,000 نظام مصاب، مما يدل على مدى انتشار البرنامج بين ضحايا محددين من خلال وسائل التواصل الاجتماعي الموثوقة.

الجزء الأول: الدودة

يتكون “إيترنيداد” من جزئين. الجزء الأول هو دودة، مصممة تلقائيًا لالتقاط قائمة جهات الاتصال الكاملة للمستخدم وإرسال نسخة منها إلى جميع جهات الاتصال.

بدلاً من الانتشار بشكل عشوائي، يقوم البرنامج بتصفية جهات الاتصال التجارية المعلّمة وأي محادثات جماعية. يعتقد الباحثون أن العدوى الأكثر نجاحًا هي تلك التي تأتي على شكل رسائل مباشرة مخصصة من الأصدقاء والعائلة.

يحتوي البرنامج أيضًا على بعض الحيل الصغيرة لتعزيز مصداقية الرسالة. يقوم البرنامج بملء اسم المستلم تلقائيًا في الرسالة الاحتيالية، ويشمل “صباح الخير” أو “مساء الخير” (بالبرتغالية) اعتمادًا على وقت إرسال الرسالة. يمكن أيضًا تكوين قوالب الرسائل من قبل المهاجمين عبر بنية C2 الخاصة بهم.

مقالات ذات صلة: تسريب بيانات يكشف عن الطلاب الهاكرز من أكاديمية تدريب وزارة المخابرات الإيرانية

العنصر الآخر الجدير بالملاحظة هو أن ملف التثبيت للبرمجيات الخبيثة كُتب في البداية بلغة PowerShell، ولكن النسخ الأحدث تستخدم Python. “معظم ملفات التثبيت، خاصة مع ما نشهده في البرازيل، عادة ما تُكتب بلغة PowerShell”، يقول سيجلر. “[مؤلفو البرمجيات الخبيثة] يتوقعون وجود Windows على الجهاز النهائي، لذا يتم التنفيذ باستخدام PowerShell. استخدام Python قد يدل على مهارات مؤلفي البرمجيات الخبيثة.

أو بشكل أكثر إثارة، قد يكون دليلاً على نوايا المهاجمين: “أنهم يتطلعون لتوسيع [إيترنيداد] إلى شيء متعدد المنصات، يمكن تشغيله على Linux أو Mac”، كما يقول سيجلر.

الجزء الثاني: التروجان

الجزء التروجان من “إيترنيداد” أكثر تعددية الوظائف. يتحقق مما إذا كانت لغة نظام تشغيل الضحية محددة على البرتغالية البرازيلية، وما إذا كانت الآلة المضيفة جزءًا من شبكة الشركات أو بيئة الحماية. يقوم بتحديد البرامج الأمنية التي تعمل على النظام، ويجمع مجموعة متنوعة من بيانات النظام الأخرى، كل ذلك للتأكد من أن الضحايا هم أفراد عاديون من البرازيل قبل المتابعة بالنشاطات الخبيثة.

مقالات ذات صلة: قراصنة الصين يختبرون سلاسل هجوم محسّنة بالذكاء الاصطناعي في تايوان

إذا اجتاز كل تلك الفحوصات، سيتم تحميل وتنفيذ الحمولة النهائية للسرقة. هذا المكون مكتوب بلغة Delphi، وهي لغة برمجة كانت شائعة جدًا لكنها تراجعت في معظم أنحاء العالم، لكنها لا تزال “ركيزة” في مشهد الجرائم الإلكترونية في البرازيل، وفقًا لـ LevelBlue.

كما يوضح سيجلر، “البرازيل إلى حد ما معزولة، كونها الدولة الوحيدة في أمريكا اللاتينية التي تتحدث البرتغالية. العديد من البرامج التعليمية في البرازيل تستهدف البرازيل تحديدًا. لذا يوفر ذلك بيئة ليست معزولة بالكامل، ولكنها أكثر تركيزًا. وDelphi هي واحدة من الأشياء التي ركزوا عليها.”

النتيجة كانت “واحدة من تلك التطورات الغريبة. بينما انتشرت لغات البرمجة الأخرى ولغات البرمجة النصية بشكل أكبر في أماكن أخرى، أعتقد أن برامج علوم الكمبيوتر وتكنولوجيا المعلومات [في البرازيل] أدخلت Delphi لأنها كانت شائعة بالفعل، مما جعلها أكثر شعبية.”

تمتلك Delphi بعض المزايا عند بناء شيء مثل برنامج سرقة. “من السهل تعلمها، وهي مباشرة جدًا. لا يمكنها القيام بالعديد من الأشياء المعقدة، ولكن لأشياء مثل هذه – تحميل، جمع معلومات النظام، إرسال معلومات النظام إلى نطاق آخر، تعمل Delphi بشكل رائع”، كما يقول.

مقالات ذات صلة: “كونفوشيوس” يتطور من سرقات إلى أبواب خلفية في باكستان

يبدأ برنامج السرقة عمله عن طريق فحص النوافذ النشطة والعمليات التي تشير إلى أن الضحية تستخدم موقعًا مصرفيًا أو للعملات المشفرة أو الخدمات المالية. تشمل الخدمات المستهدفة بنك البرازيل، سانتاندير، سترايب، كوين بيس، باينانس، ميتاماسك، ليدجر لايف، والعشرات غيرها. إذا زار الضحية أي من هذه المنصات، سيقدم لهم البرمجيات الخبيثة واجهة تقليدية مصممة لجمع بيانات تسجيل الدخول الخاصة بهم.

يمكن للبرمجيات الخبيثة أيضًا تنفيذ مجموعة متنوعة من الأوامر عن بُعد لتنزيل، رفع، واستخراج الملفات، التقاط لقطات الشاشة، تسجيل ضغطات المفاتيح، إلخ. والأكثر إثارة للاهتمام، هو كيف يمكنها تجنب تعقيدات إيقاف C2.

بالإضافة إلى كل الجهد الذي بذلوه للتأكد من أن البرمجيات الخبيثة ستظهر فقط للضحايا المقصودين، قام المهاجمون أيضًا ببناء “إيترنيداد” لتعديل نطاق C2 الخاص به تلقائيًا باستخدام بريد إلكتروني. فعلوا ذلك عن طريق تشفير بيانات الاعتماد في البرمجيات الخبيثة، والتي تستخدمها البرمجيات الخبيثة للاتصال وقراءة من نطاق بريد إلكتروني يسيطر عليه المهاجم. إذا تمكن المدافعون عن الأمن السيبراني من إيقاف C2 الخاص بـ “إيترنيداد”، يمكن للمهاجمين ببساطة صياغة بريد إلكتروني بموقع عنوان C2 جديد، وستعرف البرمجيات الخبيثة على الفور إلى أين تأخذ أوامرها الجديدة.

“إنه مثير للاهتمام جدًا”، يقول سيجلر. “لم نصادف الكثير من ذلك.”

مع استمرار تطور التهديدات الإلكترونية، من الضروري أن يبقى المستخدمون على دراية بالتقنيات المستخدمة من قبل المهاجمين لحماية أنفسهم بشكل أفضل.