دودة واتساب تنشر حصان طروادة مصرفي في جميع أنحاء البرازيل وتستهدف محافظ العملات المشفرة

تستخدم الحملة حصان طروادة مصرفي يسمى Eternidade Stealer يستهدف بشكل خاص محافظ العملات المشفرة وبيانات تسجيل الدخول المالية في أكبر سوق للأصول الرقمية في أمريكا اللاتينية.

كيف تعمل الهجمة

ينتشر البرنامج الضار عبر واتساب باستخدام مكونين رئيسيين: دودة ذاتية التكرار وحصان طروادة مصرفي. عندما ينقر الضحايا على رابط ضار مرسل عبر واتساب، فإنهم يطلقون تسلسلًا آليًا يختطف حسابهم ويقوم بتنزيل برامج ضارة في الخلفية.

حدد باحثو Trustwave SpiderLabs هذه الحملة في نوفمبر 2025. لاحظ الباحثون أن الجهات الفاعلة المهددة تستخدم برامج حكومية مزيفة وإشعارات التسليم ومجموعات استثمارية احتيالية لخداع الناس للنقر على روابط ضارة.

يختطف مكون الدودة حسابات واتساب ويصل إلى قوائم جهات الاتصال. يستخدم تصفية ذكية لتجاهل جهات الاتصال التجارية والمجموعات، مع التركيز بدلاً من ذلك على الأفراد الذين هم أكثر عرضة للوقوع في عملية الاحتيال. ثم يرسل البرنامج الضار تلقائيًا رسائل مخصصة لكل جهة اتصال، باستخدام أسمائهم الحقيقية وتحيات مناسبة للوقت باللغة البرتغالية.

المصدر: trustwave.com

في الوقت نفسه، يقوم حصان طروادة المصرفي بتثبيت نفسه بهدوء على جهاز الضحية. يقوم Eternidade Stealer بمسح التطبيقات المالية ومحافظ العملات المشفرة التي تعمل على الكمبيوتر. عندما يكتشف تطبيقات مصرفية أو منصات تبادل العملات المشفرة، يتم تنشيط البرنامج الضار على الفور ويبدأ في سرقة بيانات اعتماد تسجيل الدخول.

الخدمات المالية المستهدفة ومنصات العملات المشفرة

يستهدف البرنامج الضار مجموعة واسعة من المؤسسات المالية البرازيلية بما في ذلك البنوك الكبرى مثل Bradesco و BTG Pactual و Itaú و Santander و Caixa Econômica Federal. خدمات الدفع مثل MercadoPago و Stripe هي أيضًا على قائمة الأهداف.

بالنسبة لمستخدمي العملات المشفرة، فإن التهديد شديد بشكل خاص. يبحث البرنامج الضار عن بيانات اعتماد من منصات التبادل بما في ذلك منصة بينانس و Coinbase و Kraken والعديد من الآخرين. كما يستهدف محافظ العملات المشفرة الشائعة مثل MetaMask و Trust Wallet و Exodus و Ledger Live و Phantom Wallet من بين العديد من المحافظ الأخرى.

تمثل البرازيل هدفًا جذابًا للمجرمين الإلكترونيين بسبب تبنيها الكبير للعملات المشفرة. تحتل البلاد المرتبة الخامسة عالميًا في مؤشر Chainalysis لاعتماد العملات المشفرة وعالجت ما يقرب من 319 مليار دولار في معاملات العملات المشفرة بين منتصف 2024 ومنتصف 2025.

تقنيات التهرب المتقدمة

ما يجعل Eternidade Stealer خطيرًا بشكل خاص هو نهجه الذكي لتجنب الكشف. على عكس البرامج الضارة النموذجية التي تتصل بعناوين خوادم ثابتة، يستخدم حصان طروادة هذا حسابات البريد الإلكتروني لتلقي التعليمات من المتسللين.

يحتوي البرنامج الضار على بيانات اعتماد تسجيل الدخول المشفرة لحسابات Gmail. يتصل بهذه الحسابات باستخدام بروتوكولات البريد الإلكتروني القياسية (IMAP) للتحقق من وجود أوامر جديدة. تندمج هذه الطريقة مع حركة البريد الإلكتروني العادية، مما يجعل من الصعب على أنظمة الأمان اكتشافها وحظرها.

إذا أغلقت السلطات خادم أوامر واحد، يرسل المهاجمون ببساطة بريدًا إلكترونيًا جديدًا بعناوين خادم محدثة. يتحقق البرنامج الضار من البريد الإلكتروني، ويستخرج موقع الخادم الجديد، ويواصل العمل. يساعد نظام البريد الإلكتروني هذا البرنامج الضار على الحفاظ على الاستمرارية وتجنب عمليات الإغلاق على مستوى الشبكة.

يتم تنشيط حصان طروادة أيضًا فقط على أجهزة الكمبيوتر التي تستخدم البرتغالية البرازيلية كلغة النظام. إذا اكتشف أي لغة أخرى، ينهي البرنامج الضار نفسه على الفور. يساعد هذا الاستهداف المركز للغاية المهاجمين على تجنب باحثي الأمان والتركيز على الموارد على ضحاياهم المقصودين.

الحملات ذات الصلة والتهديدات الأوسع

تتبع باحثو الأمان حملات متعددة ذات صلة تستهدف المستخدمين البرازيليين عبر واتساب. في سبتمبر 2025، حددت Trend Micro حملة تسمى Water Saci التي نشرت برنامجًا ضارًا يسمى SORVEPOTEL. أصابت هذه الحملة المنظمات الحكومية وشركات التصنيع والمؤسسات التعليمية في جميع أنحاء البرازيل.

كما انتشر حصان طروادة مصرفي آخر يسمى Maverick عبر واتساب منذ أوائل عام 2025. تشترك هذه الحملات في تقنيات مماثلة، بما في ذلك اختطاف واتساب واستهداف المؤسسات المالية البرازيلية.

تمثل حملة Eternidade Stealer تطورًا لهذه التهديدات السابقة. تحول المهاجمون من نصوص PowerShell إلى برمجة Python، مما جعل الدودة الخاصة بهم أكثر كفاءة في الانتشار عبر جهات اتصال واتساب. كما أضافوا نظام الأوامر المبتكر القائم على البريد الإلكتروني الذي يجعل من الصعب إيقاف البرنامج الضار.

كشفت سجلات الأمان من البنية التحتية الخاصة بالجهات الفاعلة المهددة عن وصول عالمي مفاجئ. بينما يستهدف البرنامج الضار البرازيل على وجه التحديد، جاءت محاولات الاتصال من 38 دولة مختلفة. أظهرت الولايات المتحدة أعلى عدد من الاتصالات بـ 196 محاولة، تليها هولندا وألمانيا والمملكة المتحدة.

خطوات الحماية للمستخدمين والمنظمات

يجب على مستخدمي واتساب توخي الحذر الشديد مع أي روابط يتم تلقيها عبر التطبيق، حتى من جهات الاتصال الموثوقة. إذا أرسل شخص ما رابطًا غير متوقع بسياق محدود، فتحقق منه عبر قناة اتصال مختلفة قبل النقر عليه.

يوصي خبراء الأمان بعدة تدابير وقائية. احتفظ بتحديث جميع البرامج وأنظمة التشغيل لإصلاح نقاط الضعف التي قد تستغلها البرامج الضارة. قم بتثبيت برنامج مكافحة فيروسات ذي سمعة طيبة يمكنه اكتشاف الملفات الضارة وحظرها. كن مشككًا بشكل خاص في الرسائل المتعلقة بالبرامج الحكومية أو إشعارات التسليم أو فرص الاستثمار التي تصل بشكل غير متوقع.

إذا اشتبه شخص ما في اختراق حسابه، فإن الإجراء الفوري أمر بالغ الأهمية. قم بتجميد الوصول إلى جميع الحسابات المصرفية وحسابات العملات المشفرة على الفور. اتصل بالمؤسسات المالية ومنصات التبادل للإبلاغ عن الخرق. راقب جميع المعاملات عن كثب، حيث يمكن أن يساعد ذلك السلطات في تتبع الأموال المسروقة وتجميد محافظ المتسللين المحتملة.

تواجه المنظمات مسؤوليات إضافية في حماية شبكاتها. يجب على مسؤولي تكنولوجيا المعلومات تكوين الأجهزة المؤسسية لتعطيل التنزيلات التلقائية للوسائط والمستندات على واتساب. استخدم أمان نقاط النهاية وسياسات جدار الحماية لتقييد نقل الملفات عبر تطبيقات المراسلة الشخصية على أجهزة الكمبيوتر الخاصة بالعمل.

يمتد التهديد المتزايد لهجمات محفظة العملات المشفرة إلى ما هو أبعد من البرازيل. استهدفت حملات البرامج الضارة المماثلة المستخدمين في جميع أنحاء العالم، حيث يطور المهاجمون باستمرار تقنيات جديدة لسرقة الأصول الرقمية. تظل المحافظ الساخنة التي تتطلب تأكيدًا ماديًا للمعاملات الخيار الأكثر أمانًا لتخزين العملات المشفرة.

يجعل مشهد العملات المشفرة المتطور في البرازيل منها هدفًا جذابًا بشكل متزايد. تفكر البلاد في إضافة بيتكوين إلى الاحتياطيات الوطنية وتنفيذ لوائح شاملة للعملات المستقرة، وهي تطورات تشير إلى تزايد الاعتماد السائد. تجذب هذه الزيادة في النشاط بشكل طبيعي المزيد من الاهتمام من المجرمين الإلكترونيين الذين يسعون لاستغلال المستخدمين.

سباق التسلح الرقمي مستمر

توضح حملة Eternidade Stealer كيف يقوم المجرمون الإلكترونيون بتكييف تكتيكاتهم بسرعة لاستغلال المنصات الشائعة مثل واتساب. يُظهر استخدامهم لأنظمة الأوامر القائمة على البريد الإلكتروني والتصفية الجغرافية المركزة للغاية أمانًا تشغيليًا متطورًا. مع