Netcrook Logo
👤 NEONPALADIN
🗓️ 03 Dec 2025   🌍 South America

الذكاء الاصطناعي يقلب الموازين: قراصنة Water Saci يطلقون هجمات الجيل القادم على واتساب ويب

تقوم مجموعة جريمة إلكترونية برازيلية بتسليح الذكاء الاصطناعي لتعزيز هجماتها على واتساب ويب، مما يعرض ملايين المستخدمين لخطر الاحتيال المصرفي.

حقائق سريعة

  • يستخدم قراصنة Water Saci الذكاء الاصطناعي لتحويل البرمجيات الخبيثة من PowerShell إلى Python، مما يجعل الهجمات أسرع وأكثر صعوبة في الاكتشاف.
  • تستهدف الحملة مستخدمي واتساب ويب في البرازيل بملفات خبيثة متخفية كمرفقات غير ضارة.
  • يستغل المهاجمون أدوات الأتمتة لنشر أحصنة طروادة مصرفية بهدف سرقة بيانات الدخول من البنوك ومنصات العملات الرقمية.
  • تستخدم سلسلة البرمجيات الخبيثة تقنيات مراوغة متقدمة، بما في ذلك سكريبتات مشفرة، وأتمتة المتصفح، واستهداف بلغات متعددة.
  • يحث خبراء الأمن على اتباع دفاعات متعددة الطبقات وزيادة وعي المستخدمين مع تسارع الابتكار الإجرامي بفضل الذكاء الاصطناعي.

من السكريبتات إلى التعقيد: جيل جديد من الهجمات الإلكترونية

تخيل أنك تفتح رسالة واتساب على جهاز الكمبيوتر الخاص بك - ملف PDF، أو ملف ZIP، أو حتى ملف ويب يبدو بسيطاً. في لمح البصر، يتسلل كود غير مرئي إلى نظامك، ليهيئ بهدوء مسرح السرقة الرقمية. هذا ليس تهديد الغد؛ إنه يحدث الآن في البرازيل، بفضل مجموعة Water Saci.

كان هؤلاء القراصنة معروفين سابقاً باستخدام PowerShell (أداة سكريبت شائعة)، لكنهم ارتقوا الآن. من خلال الاستفادة من الذكاء الاصطناعي - وتحديداً النماذج اللغوية الكبيرة - حولوا برمجياتهم الخبيثة إلى لغة Python، وهي لغة برمجة أكثر قوة ومرونة. هذا التحول ليس شكلياً فقط: فـ Python تتيح لهم استهداف متصفحات متعددة، وأتمتة الهجمات، والتحايل على أنظمة الأمان بسهولة مقلقة.

كيف تعمل الهجمة: محرك البرمجيات الخبيثة الجديد المدعوم بالذكاء الاصطناعي

تبدأ حملة Water Saci عندما يتلقى مستخدمو واتساب ويب ملفات تبدو بريئة. في داخلها، طبقات من الأكواد المراوغة - سكريبتات Visual Basic مشفرة - تتجنب الفحص الأمني. بمجرد أن يفتح الضحية أحد هذه الملفات، يتصل السكريبت بخوادم بعيدة، ويحمّل مثبتات برمجيات خبيثة إضافية، ويطلق حصان طروادة مصرفي.

ما هو الابتكار الحقيقي؟ استخدم المهاجمون أدوات تحويل الأكواد بالذكاء الاصطناعي لإعادة كتابة سكريبتات PowerShell القديمة إلى Python الحديثة. البرمجية الخبيثة الجديدة (المسماة whatsz.py) تأتي مع ملاحظات مثل "إرسال رسالة لعدة جهات اتصال في نفس الوقت – بسرعة فائقة!" - وهي نوع من التحسينات التي يقترحها عادة مساعد ذكاء اصطناعي. هذا يسمح للبرمجية الخبيثة بالانتشار بسرعة عبر جهات اتصال واتساب، باستخدام أدوات أتمتة المتصفح مثل Selenium لإرسال الملفات والرسائل بشكل جماعي.

شوهدت هجمات مماثلة من قبل - مثل دودة البريد الإلكتروني Emotet أو حصان طروادة المصرفي البرازيلي "Javali" - لكن استخدام Water Saci للذكاء الاصطناعي يمثل قفزة للأمام. وقد حذر باحثو الأمن، بمن فيهم Kaspersky وESET، من أن الأتمتة والذكاء الاصطناعي يخفضان الحواجز أمام الجرائم الإلكترونية المعقدة.

أحصنة طروادة المصرفية وساحة المعركة البرازيلية

بمجرد الدخول، يتجسس حصان طروادة على تطبيقات البنوك، ويفحص سجل المتصفح، وينتظر أي مؤشر على نشاط مالي. عندما يقوم المستخدم بتسجيل الدخول إلى بنك أو منصة عملات رقمية، يحقن البرمجية الخبيثة شاشات تسجيل دخول مزيفة لسرقة بيانات الاعتماد. كما أنه عنيد - يستخدم تقنيات متقدمة مثل "تفريغ العمليات" ليبقى نشطاً حتى إذا تم اكتشافه.

لطالما كانت البرازيل بؤرة للبرمجيات الخبيثة المصرفية، ويرجع ذلك جزئياً إلى عدد سكانها الكبير على الإنترنت وقطاعها المالي الضخم. وتظهر حملة Water Saci كيف أن الذكاء الاصطناعي أصبح الآن يضاعف من خطورة هذه التهديدات، مما يجعل الهجمات أكثر قابلية للتوسع وأصعب في الإيقاف. وتكمن المخاطر في تجاوز حدود البرازيل إذا انتشرت هذه الأساليب أو تم بيعها لمجرمين إلكترونيين آخرين على الإنترنت المظلم.

البقاء في المقدمة

مع وجود الذكاء الاصطناعي في ترسانة المجرمين الإلكترونيين، يتحركون أسرع من أي وقت مضى. حملة Water Saci جرس إنذار: مع ابتكار المهاجمين، يجب على المدافعين أن يبتكروا أيضاً. يوصي خبراء الأمن بتعطيل التنزيل التلقائي في تطبيقات المراسلة، واستخدام أدوات مكافحة الفيروسات المتقدمة، والأهم من ذلك، الحذر من الملفات غير المتوقعة - even من جهات اتصال موثوقة.

ساحة المعركة الرقمية تتغير، والخطوة التالية قد تكون على بعد نقرة واحدة فقط.

ويكي كروك

  • التشفير (Obfuscation): التشفير هو ممارسة إخفاء الكود أو البيانات لجعلها صعبة الفهم أو التحليل أو الاكتشاف من قبل البشر أو أدوات الأمان.
  • حصان طروادة المصرفي: هو برمجية خبيثة تستهدف البيانات المالية من خلال سرقة بيانات الدخول المصرفية والمعلومات الشخصية، غالباً عن طريق تقليد تطبيقات موثوقة.
  • بايثون (Python): بايثون هي لغة برمجة شائعة وسهلة التعلم، وتتميز بقابليتها للقراءة وتعدد استخداماتها وتطبيقاتها الواسعة.
  • سيلينيوم (Selenium): سيلينيوم هي أداة لأتمتة متصفحات الويب، تُستخدم أساساً للاختبار، لكنها قد تُستغل أيضاً من قبل المهاجمين لنشر البرمجيات الخبيثة.
  • تفريغ العمليات (Process Hollowing): تقنية تقوم فيها البرمجيات الخبيثة بالاختباء في ذاكرة برنامج شرعي، مما يسمح لها بتجنب الاكتشاف وتنفيذ أعمال خبيثة.
AI Cybercrime WhatsApp Web Banking Trojan
NEONPALADIN NEONPALADIN
Cyber Resilience Engineer
← Back to news