كشف باحثو شركة Sophos عن حملة جديدة أُطلق عليها اسم Water Saci تستخدم برمجية ذاتية الانتشار تُدعى SORVEPOTEL تنتشر عبر تطبيق المراسلة الشائع WhatsApp. تبدأ السلسلة بإرسال رسالة تحوي ملفًا مضغوطًا يحتوي على اختصار ويندوز (.LNK)؛ عند فتحه يُنفَّذ سلسلة أوامر PowerShell خبيثة تقوم بتحميل المرحلة التالية من الحمولة، مما يسمح للبرمجية بالانتشار إلى جهات اتصال المستخدم ومن ثم الاستمرار في العدوى على أجهزة إضافية.
بنية الحمولة وآليات العمل
تتضمن عملية العدوى تنفيذ أوامر PowerShell التي تُسقط حمولات لاحقة تحاول تغيير إعدادات الضبط الأمني المحلي على الجهاز المصاب. في بعض العينات رصدت Sophos تحميل أداة شرعية هي Selenium لأتمتة المتصفح، ما أتاح للمهاجمين التحكم في جلسات المتصفح قيد التشغيل على المضيف المصاب. يُعتقد أن Selenium يُسلم إلى الضحايا إلى جانب حمولة تُعرَف باسم Maverick عبر نفس بنية التحكم والتوجيه (C2).
العلاقة المحتملة بـ Coyote والتاريخ التهديدي
تجري Sophos تحقيقًا لتحديد ما إذا كانت حملة Water Saci مرتبطة بحملات سابقة عُرفت بتوزيع حصان طروادة مصرفي باسم Coyote الذي استهدف مستخدمين في البرازيل، وما إذا كانت Maverick تشكّل تطورًا أو نسخة متقدمة من Coyote. إذا تم إثبات الصلة، فذلك يدل على تطور في قدرات المهاجمين من توزيع ديدان ورسائل زائفة إلى دمج وظائف سرقة بيانات مصرفية وأتمتة الجلسات عبر أدوات تبدو شرعية.
ملاحظات Sophos والتداعيات العملية
ذكرت Sophos أن وجود Selenium كأداة شرعية ضمن سلسلة الهجوم يعقّد جهود التحليل، إذ يجعل من الصعب على أدوات الدفاع التقليدية التفريق بين استخدام الأداة المشروع والاستخدام الخبيث لأتمتة سرقة بيانات الجلسات. تؤكد النتائج الحاجة إلى حذر خاص عند فتح مرفقات LNK المستلمة عبر تطبيقات المراسلة، ومراقبة تنفيذ أوامر PowerShell، وفحص أي سلوك غير معهود لأدوات أتمتة المتصفح. كما تشير التحقيقات الجارية إلى احتمال ترافق عدة عائلات برمجية ضمن بنية C2 واحدة، ما يستدعي تحديث قدرات الكشف والتصدي لتغطية سلوكيات متعددة في حملة واحدة.
