تروجان TCLBANKER المصرفي: برمجية خبيثة تنتشر ذاتياً عبر واتساب وOutlook لسرقة بيانات 59 منصة مالية

كشف باحثو Elastic Security Labs عن تروجان مصرفي برازيلي المنشأ يُدعى TCLBANKER يستهدف 59 منصة مصرفية ومالية وعملات رقمية، وينتشر ذاتياً عبر واتساب وMicrosoft Outlook ليصل إلى 3,000 جهة اتصال من حساب الضحية نفسه — مما يجعله أحد أخطر التهديدات المصرفية المكتشفة في مايو 2026.

ما هو TCLBANKER وكيف يعمل؟

يتتبع فريق Elastic Security Labs هذا النشاط تحت المعرّف REF3076، ويُقدّرون أن TCLBANKER هو تطور جذري لعائلة Maverick المعروفة بتوظيف دودة SORVEPOTEL للانتشار عبر واتساب ويب. سلسلة الإصابة تبدأ بحزمة MSI مُضمّنة داخل ملف ZIP، حيث يستغل المُثبّت برنامجاً موقّعاً رقمياً من Logitech يُسمى Logi AI Prompt Builder لتنفيذ هجوم DLL Sideloading. هذا التوقيع الرقمي الشرعي يتجاوز أغلب حلول الحماية التقليدية التي تثق بالملفات الموقّعة دون فحص عميق.

قدرات التخفي والهندسة الاجتماعية

يمتلك TCLBANKER محرّك تحليل مضاد متقدم يكشف بيئات المحاكاة والتحليل الديناميكي قبل تفعيل حمولته الخبيثة. عند التأكد من بيئة حقيقية، ينشر وحدتين مُضمّنتين: تروجان مصرفي كامل الوظائف ووحدة دودة للانتشار الذاتي. يعتمد التروجان على إطار Windows Presentation Foundation لعرض شاشات تغطية كاملة تحاكي واجهات البنوك ومنصات الدفع، وتشمل نوافذ حصاد بيانات الاعتماد، وشاشات انتظار مكالمات Vishing، وأشرطة تقدم وهمية، وتحديثات Windows مزيفة — كلها مصممة لخداع المستخدم وسرقة بياناته المصرفية.

آلية الانتشار الذاتي: واتساب وOutlook كأسلحة

الخاصية الأخطر في TCLBANKER هي قدرته على اختطاف جلسة واتساب وحساب Outlook للضحية، ثم إرسال المُثبّت المُلغّم إلى ما يصل إلى 3,000 جهة اتصال تلقائياً. الرسائل تصل من حساب الضحية الحقيقي عبر البنية التحتية الشرعية لواتساب ومايكروسوفت، مما يمنحها مصداقية عالية ويجعل اكتشافها شبه مستحيل بالطرق التقليدية. هذا النموذج يُحوّل كل ضحية إلى ناقل للعدوى، مما يُضاعف سرعة الانتشار بشكل أُسّي داخل المؤسسات التي يستخدم موظفوها واتساب للتواصل المهني.

لماذا يُشكّل TCLBANKER تهديداً مباشراً للمؤسسات المالية السعودية؟

رغم أن TCLBANKER برازيلي المنشأ ويستهدف حالياً منصات في أمريكا اللاتينية، إلا أن عدة عوامل تجعله تهديداً وشيكاً للقطاع المالي السعودي. أولاً، التروجانات المصرفية البرازيلية لها سجل موثّق في التوسع نحو الشرق الأوسط — عائلات مثل Grandoreiro وCasbaneiro وصلت للمنطقة خلال أشهر من اكتشافها. ثانياً، اعتماد المؤسسات السعودية المكثف على واتساب في التواصل الداخلي والخارجي يُوفّر سطح هجوم مثالي لآلية الانتشار الذاتي. ثالثاً، تقنية DLL Sideloading عبر ملفات موقّعة رقمياً تتحدى متطلبات SAMA CSCC في المجال 3.3.5 المتعلق بحماية نقاط النهاية والتحقق من سلامة التطبيقات.

كذلك، يتطلب إطار NCA ECC في الضابط 2-6-3 وجود آليات كشف متقدمة للبرمجيات الخبيثة التي تتجاوز التوقيعات التقليدية، وهو بالضبط ما يفعله TCLBANKER باستغلاله التوقيعات الرقمية الشرعية. أما على صعيد حماية البيانات الشخصية، فإن سرقة بيانات الاعتماد المصرفية تُشكّل انتهاكاً مباشراً لنظام حماية البيانات الشخصية PDPL في المادتين 10 و24 المتعلقتين بحماية البيانات المالية والإبلاغ عن الحوادث.

المؤشرات التقنية ونقاط الكشف

حدد باحثو Elastic عدة مؤشرات تدل على أن حملة REF3076 لا تزال في مراحلها التشغيلية المبكرة، حيث وُجدت مسارات تسجيل تصحيحية وأسماء عمليات اختبارية وموقع تصيد غير مكتمل ضمن الشيفرة. هذا يعني أن التروجان سيتطور ويصبح أكثر تعقيداً. من أبرز مؤشرات الاختراق IOCs التي يجب مراقبتها: تحميل ملفات DLL غير متوقعة بواسطة LogiAiPromptBuilder.exe، واتصالات واتساب ويب غير اعتيادية من محطات العمل المؤسسية، وإرسال مرفقات ZIP جماعية عبر Outlook دون تدخل المستخدم، ونوافذ WPF بملء الشاشة تطلب بيانات مصرفية.

التوصيات والخطوات العملية

1. تعزيز سياسات التحكم بالتطبيقات: اعتماد قوائم بيضاء صارمة Application Whitelisting تمنع تنفيذ ملفات MSI من مصادر غير معتمدة، مع تفعيل قواعد ASR في Microsoft Defender لحظر DLL Sideloading حتى من الملفات الموقّعة رقمياً.
2. فصل واتساب عن الشبكة المؤسسية: منع استخدام واتساب ويب على محطات العمل المتصلة بالأنظمة المصرفية الحساسة، واعتماد منصات تواصل مؤسسية مشفرة ومُدارة مركزياً تتوافق مع متطلبات SAMA CSCC.
3. نشر حلول EDR متقدمة: التأكد من أن حلول Endpoint Detection and Response تراقب سلوك DLL Sideloading وتكشف شاشات التغطية الكاملة المشبوهة وعمليات إرسال البريد الجماعي غير المصرح بها.
4. تدريب الموظفين على التصيد عبر واتساب: تحديث برامج التوعية الأمنية لتشمل سيناريوهات تصيد عبر واتساب وليس فقط البريد الإلكتروني، مع التركيز على أن الرسائل من جهات اتصال معروفة قد تكون مُلغّمة.
5. مراقبة مؤشرات الاختراق: إضافة IOCs الخاصة بحملة REF3076 إلى منصة SIEM ومحرك التهديدات، مع تفعيل تنبيهات فورية لأي نشاط مطابق.
6. مراجعة الامتثال: التحقق من توافق ضوابط حماية نقاط النهاية مع متطلبات SAMA CSCC المجال 3.3 وNCA ECC الضابط 2-6 لضمان الجاهزية لمواجهة هذا النوع من التهديدات المتقدمة.

الخلاصة

يمثّل TCLBANKER نقلة نوعية في تهديدات التروجانات المصرفية من حيث قدرته على الانتشار الذاتي عبر قنوات التواصل الأكثر استخداماً في المؤسسات السعودية. اعتماده على ملفات موقّعة رقمياً وشاشات هندسة اجتماعية متقنة يجعل الكشف التقليدي غير كافٍ. المؤسسات المالية الخاضعة لرقابة SAMA مطالبة بتحديث استراتيجياتها الدفاعية فوراً لتشمل هذا النوع من التهديدات المتطورة التي تستغل الثقة البشرية والتوقيعات الرقمية الشرعية معاً.

هل مؤسستك مستعدة لمواجهة التروجانات المصرفية المتقدمة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC واختبار مدى جاهزية ضوابط نقاط النهاية لديكم.