حذرت شركة الأمن السيبراني «كاسبرسكي» من حملة تصيُّد سيبراني خبيثة مستمرة تستهدف مستخدمي تطبيق «واتساب» في 11 دولة حول العالم حتى الآن، وذلك عبر رسائل مخادعة تحتوي على ملفات بصيغة «VBScript» مُعمَّاة، تؤدي إلى منح المهاجمين وصولاً للتحكُّم عن بُعد بأنظمة الضحايا. وتنتشر الحملة في دول من بينها البرازيل والهند والمكسيك وسنغافورة والمملكة المتحدة وإسبانيا وتايوان وأستراليا وروسيا وفيتنام وماليزيا.
وتبدأ سلسلة الهجوم برسائل تُرسَل من حسابات مخترَقة، تحتوي على ملف «VBS» مُعمَّى بشكل كبير، بأسماء تجعله يبدو كتقارير مالية أو كشوف فواتير أو إشعارات حسابات، ما يدفع المستلم إلى فتحه. وتكون أسماء الملفات محلية بلغات متعددة، ما يؤكِّد الطابع العالمي للحملة.
وتتضمن مراحل الهجوم التفصيلية:
• إرسال ملف «VBScript» مُعمَّى عبر «واتساب» من حسابات مخترَقة.
• عند فتح الملف على نظام «Windows»، يقوم النص البرمجي بجلب نصين برمجيين إضافيين من البنية التحتية للمهاجم.
• يقوم النصان بتعطيل حماية «UAC» عبر تعديلات في السجل.
• يتم تنزيل أرشيف مضغوط يحتوي على برنامج «ManageEngine Endpoint Central».
• يُثبَّت البرنامج بصمت في الخلفية ويُهيَّأ للاتصال بخوادم إدارة يتحكَّم بها المهاجم، ما يمنحهم وصولاً إدارياً عن بُعد إلى جهاز الضحية.
وأوضحت «كاسبرسكي» أن الطريقة الدقيقة التي استُخدمت لاختراق هذه الحسابات لاتزال غير معروفة حتى الآن. ولاحظت أنه عند تسليم الملف الأولي عبر «واتساب ويب»، يجب تنزيله، لكن عند فتحه في عميل «واتساب» لسطح المكتب، يمكن تنفيذه مباشرة عبر «Windows Script Host».
وعلى الرغم من أن «كاسبرسكي» لا تنسب الهجمات إلى جهة فاعلة محددة، إلا أن الباحثين وجدوا علامات تشير إلى استخدام اللغة الصينية وتداخل في البنية التحتية مع عناوين IP مرتبطة سابقاً بأنشطة «ValleyRAT» و«Gh0st RAT»، لكن الأدلة غير كافية لنسب عالي الثقة.
ونصحت شركة «كاسبرسكي» مستخدمي «واتساب» بالتعامل بحذر مع الملفات التي ترسلها جهات الاتصال، حتى لو كانوا موثوقين، والتحقُّق منها عبر وسائل ثانوية، وفحص جميع الملفات التي تم تنزيلها ببرنامج مكافحة فيروسات محدَّث قبل تنفيذها.