سامي
سامي الغامدي
مستشار Fyntralink · متاح الآن
مدعوم بالذكاء الاصطناعي · Fyntralink
0536890919 info@fyntralink.com

تروجان TCLBanker المصرفي: تهديد جديد ينتشر عبر واتساب وأوتلوك يستهدف بنوك SAMA

تروجان TCLBanker الجديد يستهدف 59 منصة مصرفية ومالية ويستغل تطبيق Logitech الموقّع لتجاوز الحماية، مع آلية انتشار ذاتية عبر واتساب وأوتلوك. تحليل تقني وتوصيات لبنوك SAMA.

F
FyntraLink Team

كشف باحثو Elastic Security Labs مطلع مايو 2026 عن تروجان مصرفي جديد يحمل اسم TCLBanker (المُتتبَّع تحت الرمز REF3076) قادر على استهداف 59 منصة مصرفية وفنتك وعملات رقمية، مع آلية انتشار ذاتية عبر جلسات واتساب وحسابات Outlook المخترقة. الأخطر أن البرنامج الخبيث يستغل تطبيق Logitech AI Prompt Builder الموقّع رقمياً عبر تقنية DLL Sideloading، ما يُمكّنه من تجاوز ضوابط القائمة البيضاء وحلول EDR التقليدية.

تشريح هجوم TCLBanker وآلية الإصابة

تبدأ سلسلة الهجوم بملف ZIP يحتوي على مُثبِّت MSI خبيث متخفٍّ بهيئة برنامج Logitech AI Prompt Builder، وهو تطبيق مبني على إطار Flutter. عند تنفيذ المُثبِّت، يستغل المهاجم ثغرة DLL Sideloading ضد الملف التنفيذي LogiAiPromptBuilder.exe الموقّع رقمياً من Logitech لتحميل مكتبة DLL خبيثة بصلاحيات التطبيق الموثوق. هذا الأسلوب يُربك حلول الكشف القائمة على التوقيع الرقمي ويتجاوز سياسات AppLocker وWindows Defender Application Control.

يحتوي المُحمِّل (Loader) على قدرات متقدمة لمقاومة التحليل تشمل فحوصات مكافحة التصحيح (anti-debugging)، اكتشاف بيئات المحاكاة الافتراضية، فحص قرص النظام، والتحقق من لغة النظام. يولد البرنامج الخبيث ثلاث بصمات (fingerprints) تُستخدم لاشتقاق قيمة تجزئة بيئة (environment hash) لفك تشفير الحمولة المضمّنة، مما يجعل العينة عديمة الفائدة في بيئات الـ Sandbox.

قدرات سرقة البيانات المصرفية والانتشار الذاتي

بعد فك التشفير، ينشر TCLBanker وحدتين أساسيتين: تروجان مصرفي متكامل قادر على اعتراض جلسات تسجيل الدخول إلى 59 بنكاً ومنصة فنتك ومحفظة عملات رقمية، إلى جانب وحدة دودية (worm) مسؤولة عن الانتشار الذاتي. تستخدم الوحدة الأخيرة جلسة واتساب الويب الخاصة بالضحية وحساب Outlook لإرسال المُثبِّت الخبيث إلى ما يصل إلى 3,000 جهة اتصال من حسابات الضحية الشرعية.

هذه الآلية تجعل رسائل التصيد تأتي من مرسل موثوق داخل دائرة معارف الضحية، مما يرفع معدل النقر بشكل كبير ويتجاوز فلاتر السمعة (reputation filters) في بوابات البريد. وعلى الرغم من أن الحملة الحالية تستهدف ضحايا ناطقين بالبرتغالية البرازيلية بشكل أساسي، فإن أسلوب الهجوم قابل للتكرار في أي منطقة جغرافية، بما في ذلك السوق السعودي.

التأثير على المؤسسات المالية السعودية

تعتمد بنوك المملكة الخاضعة لإشراف البنك المركزي السعودي (SAMA) اعتماداً واسعاً على واتساب للأعمال وOutlook كقنوات اتصال داخلية ومع العملاء. هذا الاعتماد يجعل سيناريو TCLBanker تهديداً مباشراً لمتطلبات إطار SAMA Cyber Security Framework v1.0 ضمن المجالات Domain 3.3.5 (Application Security) وDomain 3.3.14 (Cyber Security Event Management). كما يُفعِّل الهجوم متطلبات NCA ECC-1:2018 في الضوابط 2-1-3 (حماية الأجهزة الطرفية) و2-3-3 (الحماية من البرمجيات الخبيثة).

الأخطر هو الانعكاس على لائحة حماية البيانات الشخصية PDPL: أي تسرب لبيانات اعتماد العملاء أو معلوماتهم المصرفية عبر هذا التروجان يُوجِب الإفصاح خلال 72 ساعة، مع تبعات تنظيمية ومالية مباشرة. كما أن استغلال جلسات واتساب لانتحال شخصية موظفي البنك يفتح الباب أمام عمليات احتيال هندسة اجتماعية ضد كبار العملاء وأصحاب الحسابات الاستثمارية.

التوصيات والخطوات العملية لمواجهة TCLBanker

  1. قيود تنفيذ MSI خارج المصادر الموثوقة: فعّل سياسة Windows Defender Application Control (WDAC) لحظر تنفيذ ملفات MSI القادمة من خارج مستودعات SCCM أو Intune المعتمدة، مع تطبيق سياسة Constrained Language Mode على PowerShell.
  2. كشف DLL Sideloading: فعّل قواعد كشف Sysmon (خاصة EventID 7 لتحميل المكتبات) وقاعدة EDR لمراقبة LogiAiPromptBuilder.exe وأي عملية تحمّل DLL من مسار غير المسار المثبّت رسمياً. ربط هذه الأحداث بمنصة SIEM لإطلاق تنبيه فوري.
  3. عزل واتساب الويب: امنع الوصول إلى web.whatsapp.com من شبكات العمل الحساسة (المعاملات المالية، Treasury، فروع الدعم) عبر بوابة الويب أو Microsoft Defender for Cloud Apps، مع توعية الموظفين حول مخاطر اختطاف جلسات واتساب.
  4. تعزيز حماية Outlook: فعّل Microsoft Defender for Office 365 Plan 2 مع سياسات Safe Attachments وSafe Links، وقُم بتطبيق Conditional Access يفرض MFA مقاومة للتصيد (FIDO2) عند الوصول من أجهزة غير مُدارة.
  5. فحص بيئة الانتشار: ابحث في سجلات بريدك الصادر وواتساب للأعمال خلال آخر 30 يوماً عن إرسال جماعي مفاجئ لملفات ZIP أو روابط تثبيت برامج Logitech، فقد تكون هذه مؤشراً على إصابة قائمة (IoC).
  6. جاهزية الاستجابة: حدّث Playbook الاستجابة للحوادث ليشمل سيناريو دودة عبر منصات المراسلة، مع إجراءات احتواء سريعة (تعطيل الحساب، إنهاء جلسات واتساب، إعادة تعيين كلمات المرور وإلغاء OAuth tokens).
  7. اختبار اختراق موجَّه: اطلب اختبار اختراق Red Team يحاكي سيناريو DLL Sideloading عبر تطبيق موقّع ضمن نطاقك، للتحقق من فعالية ضوابط EDR وSOC القائمة.

الخلاصة

يُجسِّد TCLBanker تطوراً نوعياً في تروجانات البنوك: استغلال موقّع رقمياً + انتشار ذاتي عبر منصات شرعية = تجاوز فعلي للدفاعات التقليدية. على CISOs المؤسسات المالية السعودية اعتبار هذا التهديد جرساً للتحقق من نضج ضوابط Application Whitelisting، EDR Tuning، وحوكمة قنوات المراسلة. الانتظار حتى وصول الحملة إلى المنطقة ليس استراتيجية مقبولة وفق منهجية SAMA المبنية على إدارة المخاطر الاستباقية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وتقييم جاهزيتك لمواجهة تهديدات DLL Sideloading والتروجانات المصرفية الحديثة.

الوسوم

#TCLBanker #تروجان مصرفي #SAMA CSCC #الأمن السيبراني في السعودية #DLL Sideloading #فنترالينك #واتساب #البنوك السعودية