كشف باحثون في مجال الأمن السيبراني عن حملة منسقة استخدمت 131 نسخة مقلَّدة من إضافة “واتساب ويب” لمتصفح Google Chrome في تنفيذ هجوم ضخم لإرسال الرسائل المزعجة استهدف مستخدمين في البرازيل.
بنية موحدة وأهداف خفية
وبحسب شركة Socket المتخصصة في أمن سلاسل التوريد البرمجية، فإن هذه الإضافات تشترك في نفس قاعدة الشيفرة، وأنماط التصميم، والبنية التحتية التقنية، ويبلغ إجمالي عدد مستخدميها النشطين نحو 20,905 مستخدمين.
وقال الباحث الأمني كيريل بويشينكو إن هذه الإضافات “ليست برمجيات خبيثة تقليدية، لكنها تعمل كأدوات عالية الخطورة لأتمتة الرسائل المزعجة وانتهاك سياسات المنصات”. وأضاف أن الشيفرة البرمجية الخاصة بها تُحقن مباشرة داخل صفحة واتساب ويب لتعمل بالتوازي مع أكواد التطبيق الأصلية، مما يسمح بإرسال جماعي للرسائل وتحديد مواعيدها بطريقة تهدف إلى التحايل على أنظمة مكافحة الرسائل المزعجة.
وتهدف الحملة في جوهرها إلى تجاوز قيود الإرسال المفروضة من واتساب، عبر تشغيل عمليات إرسال مكثفة دون اكتشافها أو حظرها من النظام.
تسع أشهر من النشاط المتخفي
تشير التحليلات إلى أن هذه الحملة نشطة منذ أكثر من تسعة أشهر، حيث رُصدت تحديثات جديدة للإضافات حتى 17 أكتوبر 2025. ومن بين الإضافات المعروفة:
-
YouSeller (بـ10,000 مستخدم)
-
performancemais (239 مستخدمًا)
-
Botflow (38 مستخدمًا)
-
ZapVende (32 مستخدمًا)
ورغم اختلاف الأسماء والشعارات، إلا أن أغلب هذه الإضافات تم نشرها بواسطة حسابات تحمل اسم “WL Extensão” أو “WLExtensao”، ويُعتقد أن اختلاف العلامات التجارية يعود إلى نظام امتيازات (Franchise Model) يسمح للموزعين بطرح نسخ متشابهة من الإضافة الأصلية التي تطورها شركة DBX Tecnologia.
واجهة تجارية مضللة باسم “أدوات إدارة العملاء”
تقدَّم هذه الإضافات نفسها على أنها أدوات لإدارة علاقات العملاء (CRM) عبر واتساب، وتَعِد المستخدمين بتحسين المبيعات وتنظيم المتابعة مع العملاء.
ففي وصف إضافة ZapVende على متجر كروم، ورد:
“حوّل واتساب الخاص بك إلى أداة قوية لإدارة المبيعات والعملاء. ستحصل على نظام CRM بديهي، وأتمتة للرسائل، وإرسال جماعي، ومخطط مرئي للمبيعات، والمزيد.”
وتعرض شركة DBX Tecnologia – وفقًا لتحقيق Socket – برنامج “العلامة البيضاء” للموزعين، يتيح لهم إعادة بيع الإضافة تحت علاماتهم الخاصة مقابل استثمار قدره 12,000 ريال برازيلي، مع وعد بتحقيق إيرادات شهرية تتراوح بين 30,000 و84,000 ريال برازيلي.
انتهاك صريح لسياسات متجر “كروم”
تُعد هذه الممارسة مخالفة لسياسة مكافحة الرسائل المزعجة في متجر Chrome Web Store، التي تحظر على المطورين تقديم إضافات مكررة تؤدي وظائف متشابهة. كما كشفت التحقيقات أن شركة DBX Tecnologia نشرت مقاطع على يوتيوب تشرح كيفية التحايل على خوارزميات واتساب لمكافحة الرسائل المزعجة باستخدام هذه الإضافات.
وأوضح بويشينكو أن المجموعة “تتكون من نسخ متطابقة تقريبًا موزعة عبر حسابات متعددة، تُسوّق لأغراض الإرسال الجماعي غير المرغوب فيه، وتنفذ عمليات إرسال داخل موقع web.whatsapp.com دون موافقة المستخدم”.
صلة بحملة برمجية خبيثة أوسع
يأتي هذا الكشف بالتزامن مع تقارير من Trend Micro وSophos وKaspersky حول حملة سيبرانية واسعة في البرازيل تستخدم دودة واتساب تُعرف باسم SORVEPOTEL لتوزيع حصان طروادة مصرفي يحمل الاسم الرمزي Maverick.
