دودة واتساب تنشر حصان طروادة المصرفي “أستاروث” في البرازيل عبر رسائل تلقائية

كشف باحثون في الأمن السيبراني تفاصيل حملة جديدة تستغل تطبيق واتساب كقناة لنشر حصان طروادة المصرفي المعروف باسم Astaroth، في هجمات تستهدف مستخدمي البرازيل. الحملة التي أطلق عليها فريق أبحاث التهديدات في شركة “أكرونيس” اسم Boto Cor-de-Rosa، تعتمد على آلية خبيثة تستخرج قائمة جهات الاتصال من حساب الضحية على واتساب، ثم ترسل رسائل تلقائية محملة بملفات ضارة إلى كل جهة اتصال، ما يؤدي إلى انتشار العدوى بشكل يشبه الدودة الإلكترونية.

ويشير التقرير إلى أن الحمولة الأساسية لبرمجية أستاروث ما زالت مكتوبة بلغة Delphi، بينما يعتمد المُثبّت على Visual Basic Script، لكن الوحدة الجديدة الخاصة بالانتشار عبر واتساب تم تطويرها بالكامل بلغة Python، وهو ما يعكس توجه القراصنة نحو استخدام مكونات متعددة اللغات لزيادة مرونة الهجمات.

خلفية عن حصان طروادة أستاروث

أستاروث، المعروف أيضاً باسم Guildma، ظهر لأول مرة عام 2015، واستهدف بشكل رئيسي مستخدمي أمريكا اللاتينية، وخاصة البرازيل، بغرض سرقة البيانات المالية. خلال عام 2024، رُصدت مجموعتان تهديديتان تحملان اسم PINEAPPLE وWater Makara، استخدمتا رسائل التصيّد الإلكتروني لنشر البرمجية.

اللافت أن استخدام واتساب كوسيلة لنشر أحصنة طروادة مصرفية يُعد تكتيكاً جديداً نسبياً، لكنه يلقى رواجاً متزايداً بين المهاجمين في البرازيل، حيث يحظى التطبيق بانتشار واسع بين المستخدمين. وفي ديسمبر الماضي، كشفت شركة “تريند مايكرو” عن حملة أخرى باسم Water Saci اعتمدت على واتساب لنشر برمجيات خبيثة مثل Maverick ونسخة معدلة من Casbaneiro.

تقارير أمنية حديثة تؤكد خطورة الحملة

في نوفمبر 2025، نشرت شركة “سوفوس” تقريراً عن حملة متعددة المراحل تحمل الرمز STAC3150، استهدفت مستخدمي واتساب في البرازيل ببرمجية أستاروث. وأوضحت أن أكثر من 95% من الأجهزة المصابة كانت في البرازيل، بينما توزعت النسبة الباقية بين الولايات المتحدة والنمسا.

النشاط الذي بدأ منذ سبتمبر 2025 يعتمد على إرسال أرشيفات مضغوطة بصيغة ZIP تحتوي على سكربت تنزيل يستدعي أوامر PowerShell أو سكربتات Python لجمع بيانات مستخدمي واتساب، إلى جانب مثبت MSI يقوم بزرع حصان طروادة في النظام. أحدث ما كشفته “أكرونيس” يمثل استمراراً لهذا النهج، حيث تعمل ملفات ZIP المرسلة عبر واتساب كنقطة انطلاق للعدوى.

آلية عمل البرمجية الخبيثة

عند قيام الضحية بفتح الأرشيف، يظهر له ملف Visual Basic Script متخفٍ في صورة ملف عادي، وبمجرد تشغيله يبدأ تنزيل المكونات التالية التي تُمكّن المهاجمين من السيطرة على الجهاز. وتشمل هذه المكونات:

• وحدة انتشار مكتوبة بلغة Python تقوم بجمع جهات اتصال واتساب وإرسال ملف ZIP خبيث لكل منها، ما يؤدي إلى انتشار العدوى بشكل يشبه الدودة.
• وحدة مصرفية تعمل في الخلفية، تراقب نشاط التصفح باستمرار، وتُفعّل نفسها عند زيارة مواقع البنوك لجمع بيانات الدخول وسرقة الاعتمادات المالية.

ويشير تقرير “أكرونيس” إلى أن مطوّر البرمجية أضاف آلية مدمجة لتتبع مؤشرات الانتشار في الزمن الحقيقي، حيث يقوم الكود بتسجيل عدد الرسائل المرسلة بنجاح، وعدد المحاولات الفاشلة، ومعدل الإرسال بالدقيقة، وهو ما يعكس مستوى التنظيم والاحترافية لدى المهاجمين.