في تحوّل لافت عن النمط السائد في عالم البرمجيات الخبيثة المصرفية، اكتشف باحثو IBM Trusteer في مايو 2026 حملة تجسس مالية غير موثقة سابقاً تستهدف عملاء البنوك في أمريكا اللاتينية، ولا سيما البرازيل، وتحمل بصمات مغايرة تماماً لما اعتاد عليه المحللون في هذا الميدان. فبينما تعمل معظم أحصنة طروادة المصرفية تلقائياً وبلا تدخل بشري مباشر، يضع UnregStealer مشغّلاً حقيقياً خلف لوحة المفاتيح يراقب كل ضحية بعينه ويتخذ قراراً يدوياً بالضغط على الزناد في اللحظة المثلى.
معظم أحصنة طروادة المصرفية في أمريكا اللاتينية تعتمد على سلاسل إصابة آلية وبرمجيات خبيثة مُترجَمة مسبقاً، أما UnregStealer فمختلف تماماً، إذ يتضمن مشغّلاً حقيقياً يراقب كل جلسة ضحية مباشرةً ويُطلق آلية سرقة البيانات يدوياً، وهو ما يجعل هذه الحملة شبه مجهولة بالنسبة لبيئات الاختبار الآلي Sandbox وأنظمة الكشف السلوكي التي لا ترى الحمولة تنشط أبداً.
حملة UnregStealer: سلسلة هجوم تبدأ بشهادة مزيفة وتنتهي بسرقة هادئة ومتعمدة
تبدأ سلسلة الهجوم بأسلوب هندسة اجتماعية يستهدف المتحدثين بالبرتغالية البرازيلية، إذ يُقدَّم للضحية تحذير أمني مزيف يُخبره بأن متصفحه يحتاج إلى تحديث إلزامي لشهادة SSL. هذه الشهادة مُختلَقة بالكامل ولا يوجد أي متطلب مماثل حقيقي، لكنها حجة إقناعية مقنعة تدفع المستخدم إلى تشغيل ملف تنفيذي يُوزَّع بأسماء من قبيل certificado.exe أو cert.exe أو crtf.exe، و”certificado” تعني “شهادة” بالبرتغالية.
بعد تشغيل الملف، تنتهي سلسلة الإصابة بنشر إضافة Chrome خبيثة تحمل اسم “Certificado SSL Chrome”، وهي المسؤولة عن سرقة البيانات وتسريبها، بما في ذلك كلمات المرور وكلمات المرور لمرة واحدة OTPs ومفاتيح نظام PIX للمدفوعات الفورية وملفات تعريف الارتباط المرتبطة بالجلسات المصرفية.
ما يُميّز UnregStealer حقاً ليس تقنياته بل صبره وانتظاره. كل 30 ثانية، يُرسل متصفح الضحية تقريراً بموقعه الحالي إلى خادم بعيد، وفي معظم الأوقات لا يحدث شيء على الإطلاق. تبقى الإضافة صامتة ولا تترك أثراً ولا تُطلق أي تنبيه. ثم حين يرصد المشغّل جلسة تستحق الاستهداف، ربما صفحة تسجيل دخول أو تأكيد دفع أو تحويل PIX جارٍ، يُدير مفتاحاً ويُفعّل الهجوم.
هذا النهج القائم على الإنسان يُفسّر سر النجاح في التخفي لفترات مطوّلة. فالأنظمة الآلية لا تكتشف شيئاً لأن الإضافة لا تفعل شيئاً بمفردها، والتفعيل مشروط بقرار بشري يجعل سلوكها غير قابل للتكرار أو المحاكاة في بيئات الاختبار.
OverlordMX: إطار مزدوج المراحل يقود موجة جديدة من الاحتيال المصرفي في المنطقة
UnregStealer ليس الحادثة المنفردة في هذا المشهد، بل يتزامن مع حملة أخرى تكشف عن اتجاه إقليمي واضح. في مارس 2026، رصد IBM Trusteer إطار عمل يُعرف بـ OverlordMX، وهو إطار هجوم من نوع man-in-the-browser يستهدف المؤسسات المالية في أمريكا اللاتينية، مبني بالكامل بلغة JavaScript مع خلفية PHP للتحكم والسيطرة في الوقت الفعلي.
يعمل الهجوم في مرحلتين: طبقة حقن ويب تعترض المعلومات الحساسة من الضحية، تعقبها مرحلة تسليم حصان طروادة للوصول عن بُعد عبر الهندسة الاجتماعية، مما يمنح المشغّل تحكماً كاملاً في جهاز الضحية. وبمجرد تثبيت أداة RAT، لا تكون أي معاملة أو تغيير كلمة مرور أو إجراء أمني على البوابة المصرفية وحدها كافياً لحماية الضحية.
يُرجَّح أن تكون الحملة من تنفيذ جهة تهديد ناطقة بالإسبانية. وتكشف الأدلة أن البنية التحتية لـ OverlordMX تعمل عبر خادم واحد يستضيفه OVH SAS في كندا، وهو ما يعكس الطابع الفردي للمشغّل الوحيد خلف الحملة ويُمثّل في الوقت ذاته نقطة فشل مركزية واحدة يمكن استهدافها.
وعلى خلاف أحصنة طروادة التقليدية، تعمل الشيفرة الخبيثة لـ OverlordMX بالكامل في الذاكرة دون ترك أي أثر على القرص، وتتواصل حصراً عبر حركة HTTPS الاعتيادية، وهي خصائص تجعلها تتهرب من معظم ضوابط الأمان التقليدية على نقاط النهاية.
اتجاه متصاعد: الإنسان كأداة في منظومة الاحتيال المصرفي الرقمي
تُشير هاتان الحملتان مجتمعتَين إلى تحوّل منهجي في أساليب الاحتيال المصرفي الرقمي الموجّه إلى أمريكا اللاتينية. تتكشّف أمامنا ظاهرة متنامية في الاحتيال المُركَّز على LATAM، وهي التحوّل بعيداً عن أحصنة طروادة المعقدة والمُترجَمة نحو أُطر حقن خفيفة الوزن قائمة على المتصفح، وهي أصعب كشفاً وأسرع تكيّفاً، والعائق أمام هذا النوع من الهجمات بات أدنى من أي وقت مضى.
وتكشف الحملتان معاً أن التوجه المشترك هو توظيف عنصر بشري حي يراقب الضحايا لحظة بلحظة ويتخذ قرارات مدروسة وليس آلية. فبينما تعمل أنظمة الكشف على رصد الأنماط المتكررة والسلوك الآلي المتوقع، يُفوِّت هذا العنصر البشري على تلك الأنظمة الفرصة لبناء توقعات قابلة للكشف.
على صعيد التوصيات، يبقى الإجراء الوقائي الأهم هو تقييد تثبيت إضافات المتصفح عبر سياسة قائمة على القوائم البيضاء، مقروناً بتشديد بيئة PowerShell وإعداد وضع اللغة المقيّدة وتسجيل الشيفرات البرمجية، ثم العامل البشري الذي لا غنى عن تثقيفه، إذ تعتمد سلسلة الهجوم بأكملها على شخص يُشغّل ملف شهادة مزيف في البداية






























