• گیلان، رشت
  • شنبه تا پنجشنبه: 8:00 صبح تا 21:00 عصر
  • info@RootNet.ir
ما را دنبال کنید:
Linkedin-in Instagram
021-74391690

حمله سایبری جدید: توزیع مخفیانه بدافزار بانکی از طریق واتس‌اپ

71 بازدید

در روزهای اخیر یک کمپین بدافزاری بسیار پیشرفته کاربران برزیلی را هدف قرار داده است. این حمله سایبری از واتس‌اپ به‌عنوان کانال اصلی توزیع بدافزار استفاده می‌کند و با ترکیب تکنیک‌های مهندسی اجتماعی و اسکریپت‌های پیچیده، اطلاعات مالی و شخصی قربانیان را سرقت می‌کند.

این کمپین، شامل دو خانواده بدافزاری قدرتمند یعنی Maverick Banker و Eternidade Stealer است که توسط چندین شرکت امنیتی معتبر جهان شناسایی و تأیید شده‌اند.

 روش نفوذ چگونه کار می‌کند؟

1️⃣ حمله با یک ایمیل فیشینگ شروع می‌شود

قربانی ابتدا یک ایمیل حاوی فایل ZIP یا RAR دریافت می‌کند. این فایل حاوی یک اسکریپت VBS به‌شدت Obfuscated است که مسیر اصلی حمله را آغاز می‌کند.

2️⃣ اجرای اسکریپت و دانلود ماژول‌های مخرب

اسکریپت VBS:

  • از تکنیک‌های مخفی‌سازی برای دور زدن آنتی‌ویروس استفاده می‌کند

  • از PowerShell برای دریافت payload اصلی کمک می‌گیرد

  • بدون ذخیره‌سازی روی دیسک، کد مخرب را در حافظه اجرا می‌کند (In-Memory Execution)

این مرحله شناسایی حمله را برای راهکارهای امنیتی بسیار سخت می‌کند.

3️⃣ انتشار از طریق واتس‌اپ

در مرحله بعد، بدافزار کنترل واتس‌اپ وب قربانی را به‌دست می‌گیرد و فایل‌های مخرب را به فهرست مخاطبان او ارسال می‌کند.
قربانیان بعدی فکر می‌کنند فایل توسط «دوست یا همکار خودشان» ارسال شده و همین اعتماد باعث گسترش بسیار سریع این حمله می‌شود.

4️⃣ سرقت اطلاعات حساس

پس از نصب کامل، بدافزار قابلیت‌های زیر را فعال می‌کند:

  • سرقت اطلاعات بانکی

  • گرفتن اسکرین‌شات

  • ضبط کلیدهای فشرده‌شده (Keylogging)

  • نظارت بر برنامه‌های بانکی و کیف‌پول‌ها

  • ارسال داده‌ها به سرورهای خارجی (C2 Servers)

هر دو خانواده بدافزار (Maverick و Eternidade) برای حمله فقط سیستم‌هایی را که زبان و منطقه آن‌ها پرتغالی/برزیل است انتخاب می‌کنند، که نشان‌دهنده هدف‌گیری دقیق مهاجمان است.

 چرا این حمله بسیار خطرناک است؟

  • پیام‌ها از طریق مخاطبین واقعی واتس‌اپ قربانی ارسال می‌شوند

  • بدافزار بدون ذخیره فایل، تنها در حافظه RAM اجرا می‌شود

  • از ترکیب چند زبان برنامه‌نویسی (VBS + PowerShell + Python) استفاده می‌کند

  • استیلر نهایی سرور فرماندهی خود را از طریق ایمیل IMAP دریافت می‌کند، که شناسایی شبکه‌ای را سخت‌تر می‌کند

  • امکان سرقت هویت مالی کاربران و خالی‌کردن حساب بانکی وجود دارد

این حمله نشان می‌دهد که واتس‌اپ همچنان یکی از جذاب‌ترین کانال‌ها برای توزیع بدافزارهای پیشرفته است.

 چگونه از این حملات محافظت کنیم؟

 هرگز فایل ZIP یا RAR ناشناس را باز نکنید

حتی اگر «از سمت یک مخاطب قابل اعتماد» ارسال شده باشد.

 واتس‌اپ وب را فقط روی سیستم‌های امن باز کنید

و پس از استفاده آن را Log Out کنید.

 آنتی‌ویروس با قابلیت شناسایی اسکریپت فعال کنید

راهکارهایی که رفتار در حافظه را تحلیل می‌کنند، بهترین گزینه هستند.

 ترافیک IMAP و PowerShell را در سازمان مانیتور کنید

این حمله به‌شدت روی این دو پروتکل تکیه دارد.

 آموزش کاربران

کارمندان باید بدانند که پیام‌های واتس‌اپ همیشه قابل اعتماد نیستند، حتی اگر فرستنده را بشناسند. Rootnet.ir

 جمع‌بندی

کمپین‌های Maverick و Eternidade نشان می‌دهند که مهاجمان سایبری با ترکیب تکنیک‌های فیشینگ، بدافزارهای اسکریپتی، و سوءاستفاده از اعتماد کاربران در واتس‌اپ، می‌توانند حملات گسترده و بسیار قدرتمندی را اجرا کنند.
این حملات به سازمان‌ها و کاربران یادآوری می‌کنند که امنیت پیام‌رسان‌ها یک چالش مهم و دائمی است و لازم است رفتارهای امنیتی به‌صورت جدی تقویت شوند.

1. بدافزار جدید واتس‌اپ چگونه منتشر می‌شود؟

این حمله با یک ایمیل فیشینگ شروع می‌شود. قربانی فایل ZIP حاوی اسکریپت VBS را اجرا می‌کند و بدافزار از طریق واتس‌اپ وب به مخاطبین او پیام ارسال می‌کند.

2. هدف اصلی این بدافزار چیست؟

مهاجمان اطلاعات بانکی، رمزها، مخاطبین، اسکرین‌شات‌ها و داده‌های حساس کاربر را سرقت می‌کنند و از آن برای نفوذ مالی استفاده می‌کنند.

3. چرا کاربران واتس‌اپ هدف قرار گرفته‌اند؟

واتس‌اپ اعتماد کاربران را جلب می‌کند و هکرها از این اعتماد سوءاستفاده می‌کنند تا فایل‌های مخرب را از طریق مخاطبین واقعی پخش کنند.

4. این بدافزار چگونه از آنتی‌ویروس‌ها فرار می‌کند؟

اسکریپت VBS با کدهای Obfuscated اجرا می‌شود و Payload را در حافظه بارگذاری می‌کند. این روش شناسایی مبتنی بر فایل را تقریبا بی‌اثر می‌کند.

5. کدام کاربران بیشترین خطر را دارند؟

سیستم‌هایی که زبان یا منطقه برزیل دارند بیشتر هدف قرار می‌گیرند. این حمله به‌طور ویژه کاربران بانکی برزیلی را نشانه می‌گیرد.

6. چطور از این حمله محافظت کنیم؟

شما باید فایل‌های ZIP مشکوک را باز نکنید، واتس‌اپ وب را فقط روی سیستم‌های امن اجرا کنید، و رفتار PowerShell و IMAP را مانیتور کنید.

7. آیا این حمله می‌تواند جهانی شود؟

بله. ساختار تکنیکی آن قابلیت گسترش جهانی دارد. اگر مهاجمان مدل هدف‌گیری را تغییر دهند، احتمال پخش خارج از برزیل وجود دارد.

8. آیا واتس‌اپ امن است؟

واتس‌اپ امن است اما رفتار کاربران نه. حمله فعلی از اعتماد کاربران سوءاستفاده می‌کند، نه از ضعف فنی در واتس‌اپ.

Post Views: 98

مرتبط پست

Mean Time to

128 بازدید

Apple Vision Pro:

114 بازدید

هشدار ساتیا نادلا:

113 بازدید

دیدگاه ها بسته هستند