حصان طروادة Maverick البنكي المعزَّز بالذكاء الاصطناعي

 

 بسم الله الرحمن الرحيم

الحمد لله رب العالمين، وصلى الله وسلم وبارك على عبده ورسوله نبينا محمد وعلى آله وصحبه أجمعي
السلام عليكم ورحمة الله وبركاته 

حصان طروادة Maverick البنكي المعزَّز بالذكاء الاصطناعي

 

هو حصان طروادة بنكي حديث  الذي تم رصده في حملة هجمات رقمية تُستغل فيها تطبيقات المراسلة لإيصال الشيفرة الخبيثة. تميّزت هذه البرمجية بآليات نشر ذاتي عبر حسابات ضحاياها، وتنفيذ جزء كبير من عملها داخل ذاكرة الجهاز (fileless)، والاستعانة بتقنيات متقدمة في كتابة بعض أجزاء الشيفرة. في هذا المقال نشرح آلية عملها، مكوّناتها، نقاط قوتها ومخاطرها، ولماذا تشكل تهديدًا ذا طابع عالمي إن توسعت.
لمحة عامة عن الهدف وطبيعة الهجوم
الهدف الأساسي: سرقة بيانات المصادقة والبيانات المالية (حسابات بنكية، محافظ إلكترونية، منصات تداول).
قناة الانتشار: رسائل عبر تطبيقات المراسلة الفورية تعمل كوسيط أولي للوصول إلى الضحايا.
أسلوب العمل: تحميل وتنفيذ حمولات خبيثة عبر سكربتات تُشغَّل على الجهاز المتأثر، مع تقنيات تقلل من إمكانية اكتشافها بالطرق التقليدية.
 سلسلة العدوى وآلية العمل التفصيلية
1. الاستهداف والرسائل الأولية
   يُرسل المهاجم رسالة مبدئية إلى الضحية عبر تطبيق مراسلة تحتوي عادةً على ملف مرفق (مثل أرشيف ZIP يحوي ملف اختصار أو سكربت). رسالة الإغراء قد تبدو متعلقة بخدمة محلية أو إشعارًا يتطلب فتح الملف على الحاسوب.
2. التنشيط الأولي
   عند فتح المرفق، يتم تشغيل سكربت (مثلاً عبر PowerShell) يقوم بتحميل شيفرة أولية (bootstrap) من خوادم التحكم. هذه الشيفرة تقوم بفك تشفير وتحميل أجزاء أخرى مباشرة إلى الذاكرة دون كتابة ملفات قابلة للاكتشاف على القرص.
3. التنفيذ في الذاكرة (Fileless)
   تعتمد البرمجية على تحميل شظايا شفرة في الذاكرة وتشغيلها هناك، مما يُصعّب اكتشافها بواسطة فحص الملفات التقليدي. تُستخدم تقنيات تحميل شفرات (مثل تحميل shellcode) لتنفيذ وحدات متعددة.
4. وحدات النشر الذاتي عبر المراسلة
   تزود البرمجية وحدة تتصل بواجهة الويب الخاصة بتطبيق المراسلة (مثل واجهة WhatsApp Web) أو تستغل مكتبات تتيح التحكم بالحساب، فتبدأ بإرسال رسائل آلية إلى جهات اتصال الضحية بمرفقات أو روابط خبيثة، ما يحوّل حساب الضحية إلى قناة نشر.
5. الحمولة البنكية الفعلية
   تتضمن الحمولة قدرة على: رصد زيارة المستخدم لمواقع بنكية أو منصات دفع/تداول، حقن واجهات تصيد داخل جلسات المتصفح، تسجيل ضغطات المفاتيح، والتحكم بالعناصر الرسومية لإجبار المستخدم على تجاوز إجراءات الأمان أو إدخال بيانات حسّاسة.
6. التكيّف الجغرافي والتحقق المحلي
   قبل تنفيذ نشاط سرقة مكثّف، قد تقوم البرمجية بالتحقق من موقع الجهاز أو إعداداته الإقليمية (تنسيق التاريخ، لغة النظام، منطقة زمنية) لتخصيص السلوك أو التوقف إذا لم يكن الجهاز ضمن نطاق الاستهداف.
 مكوّنات البرمجية وتقنيات متقدمة مستخدمة
تنفيذ بدون ملفات: يُقلّل من البصمة على القرص ويصعّب الاكتشاف.
وحدات نشر عبر المراسلة: تحول حسابات المستخدمين المصابين إلى ناقلين للحملة (selfpropagation).
قدرات تحكم متقدمة: overlays تصيدية، keylogging، إمكانات التحكم بالمؤشر ونوافذ النظام لتعطيل المستخدم مؤقتًا أو حجب الوصول.
استخدام أدوات ومكتبات جاهزة: قد تُستخدم مكتبات مفتوحة للتكامل مع واجهات الويب للتطبيقات، ما يقلّل جهد المهاجم ويُسرّع الانتشار.
الاستعانة بالذكاء الاصطناعي: استخدام تقنيات مساعدة للكتابة التلقائية لأجزاء الشيفرة أو تحسين فك التشفير أو التكيّف البرمجي؛ ليس بالضرورة أن تكون الذكاء الاصطناعي هو مصدر القدرة الأساسي، لكنه يعجّل عملية التطوير وصقل بعض الوظائف.
 لماذا قد يُمثّل تهديدًا ذا طابع عالمي؟
1. آلية النشر المعتمدة على شبكات المراسلة: التطبيقات مثل WhatsApp موجودة على نطاق عالمي، فإذا جرى تكييف الرسائل والمرفقات وفق لغات وأسواق مختلفة يمكن للحملة أن تنتشر بسرعة في دول متعددة.
2. القدرة على تحويل المستخدمين إلى ناشرين: كل جهاز مخترق يصبح نقطة انتشار جديدة، مما يمنح الحملة قدرة دودية في الانتشار.
3. قابلية التكيّف الجغرافي: البرمجية يمكن تعديلها للتحقق من إعدادات لغوية/إقليمية وتعديل حمولة السرقة وفق البنوك المحلية.
4. خفض اكتشافها عبر التنفيذ في الذاكرة: أدوات الحماية التقليدية التي تعتمد على فحص الملفات قد تفشل في رصد التهديدات التي تعمل داخل الذاكرة.
5. عائد مالي مباشر: سرقة بيانات المصادقة وتحويل الأموال أو بيع بيانات الحسابات في أسواق المهاجمين يوفر عائدًا سريعًا، ما يحفز توسيع نطاق الحملة.
 علامات الإصابة المحتملة (أعراض يجب الانتباه لها)
إرسال رسائل تلقائية من حساب المراسلة الخاص بك دون علمك.
ظهور نوافذ تصفح أو طلبات إدخال معلومات بنكية غير متوقعة.
بطء حاد في النظام أو استهلاك شبكي غير مبرر.
تغيّرات في سلوك المتصفح (جلب صفحات غريبة، إعادة توجيه).
تنبيهات مضاد الفيروسات المتكررة أو اختفاءها/تعطّلها.
 تدابير الحماية والحدّ من الخطر
1. لا تفتح مرفقات مشكوك فيها، خصوصًا ملفات ZIP أو LNK أو ملفات تنفيذية تصل عبر المراسلة.
2. لا تثق بالروابط المُرسلة من أصدقاء إن بدت غريبة— تواصل مباشرة معهم عبر قناة أخرى للتأكد.
3. حدّث نظام التشغيل والمتصفحات والبرامج الأمنية بانتظام.
4. استخدم حلول حماية شاملةقادرة على رصد السلوكيات الضارة في الذاكرة وليس فقط الملفات.
5. فعِّل المصادقة الثنائية (2FA)في حسابات البنوك والبريد والحسابات الحسّاسة.
6. راقب نشاط حساباتك البنكيةبانتظام وأبلغ المصرف فور أي نشاط غير معتاد.
7. اعزل الأجهزة المصابةفور الشك: افصل الإنترنت، واستخدم أجهزة نظيفة لفحص الجهاز المصاب أو استعن بخبراء فنيين.
8. توعية المستخدمين: حملات تثقيفية داخل المؤسسات لتعليم الموظفين كيفية التعرف على رسائل الاحتيال والامتناع عن تنفيذ ملفات أو سكربتات غير موثوقة.
 نموذج حديث للهجمات البنكية يجمع بين تقنيات النشر عبر المراسلة، التنفيذ في الذاكرة، ووحدات سرقة متقدّمة. على الرغم من أن حملاته قد تبدأ محليًا في سوق واحد، إلا أنّ بنيته القابلة للتكيّف تجعل من السهل انتشاره عالميًا إذا لم تُتَّخذ إجراءات وقائية فعّالة. الوقاية تعتمد بالأساس على مزيج من التحديثات الفنية، حلول الحماية المتقدمة، والميلاد البشري — أي وعي المستخدمين والتثقيف.