تحذير عالمي لمستخدمي واتساب ويب من هجوم Maverick الخطير الجديد

حذر خبراء الأمن السيبراني مستخدمي واتساب ويب من هجوم جديد يعرف باسم Maverick، يعتمد على برمجيات خبيثة متطورة تستهدف الاستيلاء على حسابات المستخدمين ونشر ملفات مضغوطة ZIP إلى جهات الاتصال.

ويجمع الهجوم بين لغات Visual Basic Script وPowerShell وأدوات أتمتة المتصفح لتنفيذ أوامر ضارة دون ظهور أي تحذير أمني، وقد تم رصد هذا الهجوم من قبل فرق CyberProof وTrend Micro وSophos وKaspersky، التي أكدت خطورته على المستخدمين خاصة في البرازيل.

آلية الهجوم

يبدأ الهجوم بتحميل ملف ZIP يحتوي على اختصارات LNK تنفذ أوامر PowerShell أو CMD لاستدعاء خادم المهاجم وتحميل المرحلة الأولى من البرمجية الخبيثة.

ويستخدم الكود تقنيات إخفاء تقليدية مثل Base64 وUTF‑16LE، كما يتحقق من وجود أدوات تحليل عكسية ويوقف نفسه تلقائياً عند اكتشافها، وإلا يقوم بتحميل دودة SORVEPOTEL وتروجان مصرفي باسم Maverick، ما يتيح للمهاجم السيطرة على جلسة واتساب ويب وإرسال الملفات الضارة تلقائياً لجميع جهات الاتصال دون أي تحذيرات.

استهداف محدد

يفحص الهجوم علامات تبويب المتصفح النشطة بحثاً عن مواقع مالية محددة في أمريكا اللاتينية، وبشكل خاص في البرازيل، ويرسل بيانات النظام لتنفيذ صفحات تصيد مخصصة لسرقة المعلومات، ويعتمد على سكريبت Orcamentovbs الذي يشغل tadeups1 في الذاكرة مباشرة، ويتحكم في متصفح كروم باستخدام أدوات التشغيل الآلي.

كما يعرض الهجوم لافتة مزيفة بعنوان “WhatsApp Automation v6.0” لإخفاء نشاطه، ويخصص الرسائل بناءً على اسم جهة الاتصال والوقت لضمان انتشار أكثر دقة وفعالية.

قيود التنفيذ

أكدت فرق الأمن أن Maverick يثبت نفسه فقط على الأنظمة التي تحدد وجود المستخدم في البرازيل عبر المنطقة الزمنية ولغة النظام وتنسيق التاريخ والوقت، ويقتصر التنفيذ على الأجهزة التي تستخدم اللغة البرتغالية.

ويعمل الهجوم على حلقة انتشار تشمل جميع جهات الاتصال مع إمكانية التحكم عن بعد في إيقاف أو استئناف الهجوم، ويعتقد الخبراء أن المهاجم قد يوسع أهدافه لتشمل قطاع الضيافة والفنادق البرازيلية، ما قد يعرض الضيوف ذوي القيمة العالية للخطر ويزيد من نطاق الضرر المحتمل.

تشابهات سابقة

أشارت كاسبرسكي إلى وجود تشابهات بين Maverick وبرمجيات قديمة مثل Coyote، بينما اعتبرت Sophos أن Maverick قد يكون نسخة مطورة منها، وتوضح Trend Micro أن النظام يعتمد على خوادم C2 متقدمة تدعم إدارة الوقت الحقيقي، مما يصعب عملية رصد الهجوم والتصدي له، ويؤكد ذلك الحاجة الماسة لتحديث برامج الحماية وتوخي الحذر عند التعامل مع الملفات المرسلة عبر واتساب ويب، خاصة من جهات اتصال غير معروفة أو رسائل مشبوهة.