كشف باحثو التهديدات تشابهاً بارزاً بين تروجان بنكي معروف باسم Coyote وبرمجية جديدة تُدعى Maverick تُبَيَّن أنها تُوزَّع عبر واتساب. بحسب تحقيقات شركات مثل Trend Micro وCyberProof، تُكتب كلتا البرمجيتين بلغة .NET، تستهدفان مستخدمي البنوك في البرازيل، وتشاركان وظائف متطابقة تشمل فك التشفير، استهداف عناوين بنكية محددة، ومراقبة تطبيقات مصرفية، مع قدرة مشتركة على الانتشار عبر WhatsApp Web.
سلسلة العدوى وآلية الانتشار عبر WhatsApp Web
توثّق التحليلات أن الحملة تتكوّن من عنصرين: برمجية ذاتية الانتشار اسمها SORVEPOTEL تُرسل عبر نسخة واتساب على سطح المكتب لتسليم ملف ZIP يحتوي الحمولة الرئيسية Maverick. يبدأ الهجوم عندما يقوم المستخدم بتحميل وفك ضغط الأرشيف الذي يتضمن اختصار Windows (LNK) يؤدي لتشغيل cmd.exe أو PowerShell للاتصال بخادم خارجي (“zapgrande[.]com”) وتحميل الحمولة الأولى. يطلق نص PowerShell أدوات وسيطة لتعطيل Microsoft Defender وUAC ثم يستدعي مُحمّل (.NET loader) يختبر بيئة التحليل الذاتي ويوقف التنفيذ إذا كشفت أدوات الهندسة العكسية عن وجودها. بعد التحقق، يقوم المُحمّل بتنزيل وحدات الهجوم: SORVEPOTEL وMaverick — ويُثبت Maverick فقط إذا تأكد أن الجهاز في البرازيل عبر فحوصات المنطقة الزمنية واللغة وإعدادات التاريخ والوقت.
اختطاف جلسات المتصفح وتوزيع الرسائل الآلية وتقنيات التمويه
تعتمد الحملة على تنزيل ChromeDriver وSelenium لأتمتة المتصفح و«اختطاف» جلسات WhatsApp Web عبر نسخ ملف تعريف Chrome الشرعي (cookies، توكنات المصادقة، وجلسات محفوظة) إلى مساحة العمل المؤقتة للبرمجية؛ ما يسمح للماسح بإرسال أرشيفات ZIP خبيثة إلى جميع جهات اتصال الضحية دون الحاجة لمسح رمز الاستجابة السريعة أو إثارة تنبيهات المصادقة. يعرض المهاجم لافتة مخادعة باسم “WhatsApp Automation v6.0” لإخفاء نوايا البرمجية، ويستغل قوالب رسائل مخصصة مع تبديلاً لاسم المستلم وتحيات زمانية. لوحظ أيضاً استهداف فنادق في البرازيل، ما يشير إلى توسع في نطاق الضحايا المحتملين خارج الأفراد إلى مؤسسات الضيافة.
بنية القيادة والتحكم (C2) والأوامر والديمومة التشغيلية
تستخدم الحملة بنية C2 قائمة على البريد الإلكتروني — حيث يتصل SORVEPOTEL بحسابات بريدية على terra.com[.]br عبر IMAP باستخدام بيانات اعتماد مضمّنة، ما أجبر المهاجمين على إدخال رموز تحقق أحادية يدوياً عند تفعيل المصادقة متعددة العوامل، مسبِّباً بعض التأخير التشغيلي لكنه زوّد الحملة بمستوى مرونة. كما وُثقت آليات تحكم متقدمة تتيح للمهاجمين إيقاف/استئناف ومراقبة حملات الانتشار في الوقت الحقيقي، مما يحول الأجهزة المصابة إلى شبكة بوتنت منسقة. تشتمل قائمة الأوامر المدعومة على: INFO، CMD، POWERSHELL، SCREENSHOT، TASKLIST، KILL، LIST_FILES، DOWNLOAD_FILE، UPLOAD_FILE، DELETE، RENAME، COPY، MOVE، FILE_INFO، SEARCH، CREATE_FOLDER، REBOOT، SHUTDOWN، UPDATE، CHECK_EMAIL.
تعزو التقارير العلاقة بين Water Saci وCoyote إلى تشابه كبير في الشيفرات والطرائق التشغيلية، بينما ترى بعض الجهات أن Maverick هو تهديد جديد بذاته يستهدف البرازيل على نطاق واسع. وتُعزى خطورة الحملة إلى اعتمادها على ملفات نصية وVBScript وPowerShell بدلاً من ثنائيات .NET مباشرة، وهو ما يزيد من قابلية الانتشار عبر منصات الرسائل الشائعة في بلد يضم أكثر من 148 مليون مستخدم نشط لواتساب.
