حصان طروادة TCLBanker: ينتشر عبر واتساب وOutlook ويهدد 59 منصة مصرفية

كشفت أبحاث Elastic Security Labs مؤخراً عن حصان طروادة مصرفي جديد بالغ الخطورة يحمل اسم TCLBanker، يستهدف 59 منصة مصرفية ومالية ومحفظة عملات رقمية، وينتشر ذاتياً عبر واتساب وOutlook بأسلوب الديدان الإلكترونية. الأخطر أن هذا التهديد يستخدم مثبّت Logitech AI Prompt Builder الموقّع رقمياً كحصان طروادة، مما يجعله يتجاوز الكثير من حلول الحماية التقليدية المعتمدة في بنوك SAMA.

ما هو TCLBanker وكيف يعمل تقنياً

TCLBanker هو تطور متقدم لعائلة برمجيات Maverick/Sorvepotel الخبيثة، اكتشفه باحثو Elastic ووصفوه بأنه "مدوّن باحترافية وتعقيد عاليين". يصل التهديد إلى الضحية عبر حزمة MSI تنتحل Logi AI Prompt Builder الموقّعة رقمياً من Logitech، ثم يستغل أسلوب DLL Sideloading ضد الملف التنفيذي LogiAiPromptBuilder.exe المبني على إطار Flutter. هذا الأسلوب يخدع آليات SmartScreen وDefender وبعض حلول EDR التي تثق ضمنياً بالملفات الموقّعة من شركات مشهورة.

بمجرد التنفيذ يقوم البرنامج بفك تشفير حمولته الأساسية باستخدام مفاتيح مشتقة من بيئة الجهاز، فإذا كان الجهاز صندوق رمل تحليلي (Sandbox) يفشل فك التشفير ولا تظهر الحمولة الخبيثة. هذه التقنية المعروفة بـ Environment Keying تجعل تحليل البرنامج صعباً جداً على فرق Threat Hunting وتُطيل عمر الحملة.

وحدات الانتشار الذاتي عبر واتساب وOutlook

أخطر ما في TCLBanker هو وحدتا انتشاره الذاتي. الأولى تُسيطر على جلسة WhatsApp Web المفتوحة في متصفح الضحية وترسل الرابط الخبيث إلى جميع جهات الاتصال، والثانية تتحكم بـMicrosoft Outlook عبر COM Automation وتنشر رسائل بريد ملوثة بمرفقات MSI تحمل اسم الضحية الحقيقي. هذا الأسلوب يعتمد على ثقة المستلم بالمرسل، فيتضاعف معدل النجاح بشكل كبير داخل بيئات الشركات المالية حيث يتبادل الموظفون الملفات بشكل دائم.

كما يمتلك TCLBanker إطار Overlay مبني بتقنية WPF يعرض شاشات هندسة اجتماعية كاملة فوق التطبيقات المصرفية الحقيقية، ويوجّهها مشغّل بشري عن بُعد لتقديم رسائل مقنعة تطلب من الضحية إدخال OTP أو الموافقة على معاملة احتيالية أثناء جلسة بنكية حقيقية.

التأثير المباشر على المؤسسات المالية السعودية

رغم أن TCLBanker يركّز حالياً على البرازيل عبر فحص المنطقة الزمنية ولوحة المفاتيح ولغة النظام، فإن تاريخ برمجيات أمريكا اللاتينية يثبت أنها تتوسع جغرافياً بسرعة. بنوك SAMA معرّضة لخطر مزدوج: الأول هو إصابة موظفي العمليات والخزينة عبر بريد Outlook الذي يستخدمونه يومياً، والثاني هو إصابة عملاء الخدمات المصرفية الإلكترونية عبر واتساب الأعمال المنتشر في المملكة.

هذا التهديد يصطدم مباشرة مع ضوابط ساما للأمن السيبراني (SAMA CSCC) في المجالات: 3.3.5 الأمان النهائي للأجهزة، 3.3.7 المراقبة الأمنية، و3.3.14 إدارة الاحتيال السيبراني. كما يلامس متطلبات الهيئة الوطنية للأمن السيبراني (NCA ECC) في الضابط 2-10 لإدارة البرمجيات الخبيثة. أما من زاوية نظام حماية البيانات الشخصية (PDPL)، فإن أي اختراق ينتج عنه تسريب بيانات عملاء يستوجب الإبلاغ خلال 72 ساعة وفق المادة 20.

التوصيات والخطوات العملية لبنوك SAMA

1. تفعيل قواعد AppLocker أو Windows Defender Application Control لمنع تنفيذ ملفات MSI من مسارات المستخدم العادي مثل %TEMP% و%APPDATA% حتى لو كانت موقّعة رقمياً.
2. حظر تشغيل LogiAiPromptBuilder.exe عبر سياسات SRP إذا لم تكن أداة معتمدة في بيئة العمل، ومراقبة أي محاولة DLL Sideloading عبر قواعد Sigma في حلول SIEM.
3. تطبيق Browser Isolation على واتساب ويب وLinkedIn وأي قنوات اتصال غير رسمية تُستخدم في بيئات العمل، ومنع تنزيل أي ملف تنفيذي عبر هذه القنوات.
4. تفعيل Microsoft 365 Safe Attachments وSafe Links مع وضع Dynamic Delivery، وتطبيق سياسة Block على كل ملفات MSI وISO وLNK الواردة.
5. نشر مؤشرات الاختراق (IOCs) المرتبطة بـTCLBanker من تقرير Elastic فوراً في حلول EDR وNDR، مع تشغيل Threat Hunting استباقي على عمليات Outlook.exe وWhatsApp.exe التي تُصدر اتصالات شبكية غير اعتيادية.
6. توعية موظفي الفروع وخدمة العملاء بأسلوب Overlay المصرفي، مع التأكيد على أن البنك لا يطلب أبداً OTP عبر شاشة منبثقة داخل التطبيق المصرفي.

الخلاصة

تكشف حملة TCLBanker كيف تتحول البرمجيات الخبيثة المصرفية إلى منصات هجوم متعددة الأدوار تجمع بين الانتحال الموقّع والانتشار الذاتي والهندسة الاجتماعية الموجّهة بشرياً. بنوك SAMA التي تكتفي بحلول مكافحة الفيروسات التقليدية ستجد نفسها متأخرة عن خط المواجهة. الحماية الفعّالة تبدأ من ضبط Application Control وتنتهي بتمارين Tabletop تحاكي اختراق محطة عمل في الخزينة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل اختبار قدرة بنيتك على صدّ هجمات DLL Sideloading والديدان المصرفية الحديثة.