AgingFly وUAC-0247: البرنامج الخبيث الذي يسرق WhatsApp وبيانات المتصفح من المستشفيات والحكومات — لماذا يهدد المؤسسات المالية السعودية الآن

في الفترة الممتدة بين مارس وأبريل 2026، رصد فريق الاستجابة لحوادث الأمن السيبراني الأوكراني CERT-UA حملة هجومية متطورة تحمل الاسم الرمزي UAC-0247، تستهدف المستشفيات الحكومية والهيئات الإدارية المحلية بهدف سرقة بيانات اعتماد المتصفحات ومحادثات WhatsApp. التهديد لم يقتصر على أوكرانيا؛ البنية التقنية للحملة والأدوات المستخدمة تشير إلى قابلية تكيّف عالية يجعلها خطراً داهماً على أي قطاع يعتمد على التواصل الرقمي — وفي مقدمته القطاع المالي السعودي.

كيف تعمل الحملة: من بريد إلكتروني مزيف إلى سيطرة كاملة على بيانات الاعتماد

تبدأ الهجمة بإيميل تصيّد (Phishing) يدّعي أنه "مقترح مساعدة إنسانية"، مُصمَّم بأدوات ذكاء اصطناعي ليبدو أصيلاً بشكل مقنع. يحتوي الإيميل على رابط يوجّه الضحية إلى موقع مُخترَق يحوي ثغرة XSS، أو موقع مزيف أنشأه المهاجمون. عند النقر يُنزَّل ملف اختصار Windows بامتداد LNK، ويُشغَّل عبر أداة النظام الأصلية mshta.exe التي تستدعي بدورها تطبيق HTA (HTML Application) مستضافاً على خوادم بعيدة. هذا الأسلوب يتحايل على كثير من آليات الكشف التقليدية لأنه يستغل أدوات مشروعة مدمجة في Windows — تقنية تُعرف بـ Living-off-the-Land (LotL).

بعد الاختراق الأولي، تُنشر ثلاثة مكونات خبيثة متمايزة: CHROMELEVATAR لاستخراج بيانات الاعتماد والجلسات من المتصفحات المبنية على Chromium (Chrome، Edge، Brave)، وZAPIXDESK الذي يستهدف تحديداً قاعدة بيانات WhatsApp المحلية على الجهاز لسرقة الرسائل وجهات الاتصال وملفات الوسائط، فضلاً عن سكريبت PowerShell يُسمى SILENTLOOP يحافظ على الثبات داخل الشبكة ويُحدّث عنوان خادم التحكم (C2) تلقائياً عبر قناة Telegram، مما يجعل حجب عنوان IP وحده غير كافٍ لوقف التهديد.

البرنامج الخبيث الجديد AgingFly: خطر يتجاوز المستشفيات

وثّق باحثو BleepingComputer عائلة برمجيات خبيثة جديدة أُطلق عليها اسم AgingFly في سياق الحملة ذاتها، مصمَّمة خصيصاً لسرقة بيانات اعتماد المتصفحات القائمة على Chromium وبيانات WhatsApp. ما يُقلق في AgingFly أنه مكتوب بأسلوب معياري (Modular) يسمح بتحديث وظائف السرقة دون إعادة نشر كامل للبرنامج. كما يستخدم تقنيات لتفادي الصناديق الرملية (Sandbox Evasion) عبر فحص دقيق لبيئة التشغيل قبل تنشيط حمولته الخبيثة. هذا التصميم لا يجعله خطراً على القطاع الحكومي فحسب، بل على أي مؤسسة يستخدم فيها الموظفون أجهزة شخصية أو مشتركة للوصول إلى أنظمة العمل.

التأثير المباشر على المؤسسات المالية السعودية

في البيئة المصرفية والمالية السعودية، يمثّل هذا التهديد مزيجاً من ثلاثة مخاطر متشابكة تمسّ مباشرةً متطلبات SAMA CSCC وNCA ECC وPDPL:

أولاً — سرقة بيانات اعتماد الأنظمة الحساسة: غالبية موظفي البنوك والمؤسسات المالية يصلون إلى بوابات المصادقة متعددة العوامل (MFA) وأنظمة إدارة الهوية والوصول (IAM) وحتى بوابات VPN عبر متصفحات Chromium. سرقة الجلسات النشطة (Session Tokens) تتيح للمهاجم تجاوز MFA بالكامل، وهو ما يتعارض مع ضوابط SAMA CSCC في المجال الثالث (إدارة الهوية والوصول) ومتطلبات NCA ECC-3-4-1.

ثانياً — اختراق WhatsApp التجاري: أصبح WhatsApp Business قناةً عملياتية معتمدة في كثير من البنوك السعودية للتواصل الداخلي والإشعارات للعملاء. ZAPIXDESK قادر على استخراج الرسائل والمستندات والصور المُرسلة عبر التطبيق، مما يُعرّض بيانات العملاء والمراسلات التشغيلية الحساسة للاختراق وينتهك مباشرةً المادة السابعة من نظام حماية البيانات الشخصية (PDPL) التي تُلزم بالحفاظ على سرية البيانات.

ثالثاً — ثبات طويل الأمد عبر Telegram: استخدام SILENTLOOP لقناة Telegram لتحديث عنوان C2 يعني أن المهاجم يمكنه البقاء داخل الشبكة لأسابيع دون اكتشاف، وهو بالضبط السيناريو الذي يُحذّر منه نموذج SAMA لاستمرارية الأعمال (BCM) وإطار NCA ECC في بند الاستجابة للحوادث (ECC-3-7).

التوصيات والخطوات العملية

1. تفعيل WDAC أو AppLocker لحظر mshta.exe و wscript.exe: في بيئات عمل المؤسسات المالية لا يوجد مسوّغ تشغيلي لتشغيل تطبيقات HTA. حظر هذه العملية عبر سياسات التطبيق الموثوق (Application Control) يقطع ناقل الهجوم الأولي بالكامل وفق إرشادات NSA لتقسيم الصلاحيات.
2. نشر قواعد YARA/Sigma للكشف عن AgingFly: شارك مجتمع الأمن السيبراني بالفعل قواعد كشف مفتوحة المصدر عبر منصة GitHub تستهدف مؤشرات الاختراق (IoCs) المرتبطة بـ UAC-0247. دمجها في SIEM المؤسسي (QRadar أو Splunk أو Microsoft Sentinel) يُتيح الكشف الآني.
3. مراجعة سياسة استخدام WhatsApp في بيئة العمل: في ضوء قدرة ZAPIXDESK على سرقة محتوى WhatsApp المحلي، تحتاج المؤسسات لتقييم ما إذا كانت سياسة BYOD الحالية تُوفّر حماية كافية بما يتوافق مع ضوابط إدارة الأجهزة المحمولة (MDM) ضمن SAMA CSCC.
4. تفعيل حظر قنوات Telegram على مستوى الجدار الناري: نظراً لاستخدام SILENTLOOP Telegram كبنية تحتية للتحكم (C2)، يُنصح بمراجعة قواعد الجدار الناري لحظر الاتصالات الصادرة غير المُصرَّح بها نحو api.telegram.org من الأجهزة المؤسسية.
5. إجراء تمرين محاكاة تصيّد (Phishing Simulation): أسلوب الهجوم قائم على إيميل مُقنع بذكاء اصطناعي. التقييم الدوري لوعي الموظفين يُعدّ متطلباً صريحاً في SAMA CSCC ضمن محور التوعية والتدريب (Domain 2).
6. مراجعة صلاحيات الحسابات المميزة (Privileged Accounts): حتى لو اخترق المهاجم حساباً عادياً، استخدام أسلوب الامتيازات الأدنى (Least Privilege) يُقيّد قدرته على الحركة الجانبية (Lateral Movement) داخل الشبكة.

الخلاصة

حملة UAC-0247 وبرنامج AgingFly الخبيث يُعيدان التذكير بحقيقة لا تقبل الجدل: الأدوات اليومية التي يثق بها الموظفون — متصفح Chrome وتطبيق WhatsApp — باتت ناقلات هجوم أوليّة في ترسانة مجموعات التهديد المتقدم. المؤسسة المالية التي لم تُدمج الكشف السلوكي عن أدوات LotL ضمن منظومتها الأمنية تعمل بعمى جزئي في مواجهة هذا الجيل من البرامج الخبيثة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وتحديد مدى تعرّضك لهجمات من نوع AgingFly وUAC-0247 قبل أن يفعل المهاجمون ذلك.