كشف باحثو IBM Trusteer عن حصان طروادة مصرفي من نوع جديد كلياً يستهدف عملاء البنوك الأسترالية، عبر اختراق أنظمة البنوك ذاتها، بل عبر التمركز داخل المتصفح نفسه الذي تستخدمه وأنت تعتقد أنك في بيئة آمنة ومُصادق عليها.
هذا البرنامج الخبيث ليس فيروساً تقليدياً مُصمَّماً لتعطّل الأنظمة أو إحداث اضطراب مرئي، بل هو مُهندَس تحديداً ليعمل بوصفه تهديداً خفياً يُدمج نفسه داخل المتصفح ويعمل مباشرةً داخل جلسة المستخدم الموثوقة والمُصادَق عليها. هذه البرمجية الخبيثة تعمل داخل جلسة مصرفية مُصادَق عليها مسبقاً، إذ تتلاعب ببيئة المتصفح الموثوقة بدلاً من سرقة بيانات الاعتماد عبر التصيد.
هذا التمييز جوهري. فحين تسرق البرمجية الخبيثة كلمة مرورك قبل أن تُدخلها، تبقى هناك فرصة للكشف وإيقاف الهجوم. أما حين تجلس داخل جلسة مُفتوحة بالفعل وموثوقة من البنك، فإنها ترث كل صلاحياتك ولا يُميّزها النظام عنك في شيء.
كيف تعمل الإضافة الخبيثة وما الذي تراه وما الذي تُخفيه عنك
تمتلك هذه البرمجية قدرات واسعة تشمل: تعديل الأرصدة المعروضة وسجل المعاملات وحدود التحويل مباشرةً في المتصفح لخداع الضحايا لإقرار مدفوعات احتيالية، واعتراض كلمات المرور لمرة واحدة OTPs قبل إرسالها وتسريبها إلى المهاجم مع عرض رسالة خطأ مزيفة لتفادي الشكوك، فضلاً عن سرقة ملفات تعريف الارتباط الخاصة بالجلسة المصرفية النشطة وتتبع الصفحات التي تزورها وأنماط معاملاتك.
التلاعب بالأرصدة المعروضة هو الأشد خطورة من الناحية النفسية. لإبقاء الإضافة مخفية، يُخفي البرنامج الصفحة خلال مرحلة التهيئة باستخدام CSS قبل تنفيذ JavaScript، مانعاً المستخدمين من رؤية تعديلات الرصيد جارية. وبعد تأخير قصير نحو 500 ميلي ثانية، تُستعاد الصفحة فور اكتمال التلاعب بـ DOM، مما يضمن تجربة سلسة للمستخدم ويُعزز وهم الجلسة المصرفية الشرعية.
بعبارة أخرى، ترى رصيدك يبدو طبيعياً، سجل معاملاتك يبدو نظيفاً، وحدود التحويل تبدو كما هي، لكن كل ما تراه قد يكون صورة مُعدَّلة بعناية بينما يجري في الخلفية تحويل أموالك.
تُحافظ الإضافة على اتصال WebSocket ثنائي الاتجاه ومستمر لتمكين تنفيذ الأوامر في الوقت الفعلي، وهو ما يُحقق زمن استجابة منخفضاً ويُلغي تكرار عمليات التأسيس المطلوبة في اتصالات HTTPS التقليدية، مما يُتيح تسليم الأوامر فورياً من خادم التحكم والسيطرة.
الغموض المقصود: كيف تصل الإضافة إلى جهازك ولماذا يصعب اكتشافها
البرمجية الخبيثة مُعبَّأة بوصفها إضافة متصفح وفق مواصفات Manifest V3، وهي توفر للمهاجمين تنفيذاً مستمراً في الخلفية وواجهات برمجية حديثة يصعب رصدها. وقد رُصدت عدة نسخ بأسماء مختلفة لكن بوظائف متطابقة.
أسلوب التوزيع لم يُكشف عنه بعد بصورة قاطعة، وهذا الغموض ليس صدفة بل اختياراً مقصوداً من المهاجمين لإبطاء عمل المحللين. لكن التجارب السابقة مع برمجيات مشابهة تُشير إلى احتمالات عدة: رسائل بريد إلكتروني تصيدية تقنع المستخدم بتثبيت إضافة، أو متاجر تطبيقات غير رسمية، أو حزم برمجية مُلوَّثة.
لأن الهجوم يُنفَّذ داخل جلسة مُصادَق عليها وشرعية، فإنه يرث سياق ثقة المستخدم وضوابط الأمان، محيِّداً بذلك الحمايات التقليدية فعلياً. وهنا يكمن جوهر المعضلة الأمنية: أنظمة الكشف التقليدية تبحث عن سلوك مشبوه في بيئات غير موثوقة، لكن حين يعمل الهجوم داخل جلسة موثوقة بالكامل، تصمت تلك الأنظمة لأنها لا ترى أي شذوذ.
الذكاء الاصطناعي يُسرّع إنتاج البرمجيات الخبيثة في ميدان الاحتيال المصرفي
ما يُضفي على هذه الحادثة أبعاداً أوسع من مجرد هجوم موجّه على أستراليا هو السياق التقني الذي نشأت فيه. يُولَّد الذكاء الاصطناعي اليوم أكواداً على مستوى المطورين المحترفين وينفّذ أساليب جديدة بسرعة غير مسبوقة، وهذا التحوّل الثوري لا يُعيد تشكيل الابتكار فحسب بل يُعيد تشكيل أسلوب عمل المحتالين. هذا البحث يُقدّم نموذجاً حقيقياً لكيفية توظيف الجهات التهديدية لنماذج اللغة الكبيرة وأدوات توليد الأكواد البرمجية لإنتاج برمجيات خبيثة بكميات ضخمة.
ويرتبط هذا النمط باتجاه أوسع في منظومة الاحتيال المصرفي الإلكتروني. هذه الإضافة حصان طروادة مصرفي يستهدف تحديداً عملاء Westpac، ويعمل بوصفها برمجية Man-in-the-Browser لسرقة بيانات الاعتماد وبيانات الجلسة والأموال، إذ تُنشئ اتصال WebSocket مستمراً بخادم C2 مُضمَّن في الكود، وتجمع جميع ملفات تعريف الارتباط من المتصفح وتعترض نماذج الإدخال.
وتجدر الإشارة إلى أن هذا الهجوم يتزامن مع موجة أوسع من الهجمات المستندة إلى إضافات المتصفح ضد قطاعات مصرفية في مناطق متعددة، إذ رُصد بيع أداة بناء إضافات Chrome الخبيثة على المنتديات السرية، تُتيح للمحتالين قوالب جاهزة لإنشاء إضافات Chromium وملفات خلفية مصاحبة، مما يُسهّل نشر إضافات ضارة قادرة على اختراق بيانات المستخدمين وأمانهم.
لم يعد الأمر يتعلق بسرقة كلمات المرور أو إرسال رسائل تصيد. الهدف الجديد أشد تطوراً: اختراق الإدراك ذاته، والتلاعب بما يراه المستخدم وما تعتقده البنوك حقيقياً. بتسليح إضافات المتصفح ونماذج اللغة الكبيرة، نصَّب المهاجمون أنفسهم مباشرةً بين المستخدم والواقع.





























