شارك

تحذير: برمجية TCLBanker الخبيثة تخترق 59 منصة مالية عبر أدوات لوجيتك للذكاء الاصطناعي

فريق جلتش٨ مايو ٢٠٢٦0 مشاهدة4 دقائق
شارك
تحذير: برمجية TCLBanker الخبيثة تخترق 59 منصة مالية عبر أدوات لوجيتك للذكاء الاصطناعي

"اكتشاف برمجية TCLBanker الخبيثة التي تستهدف 59 منصة بنكية وتشفيرية عبر نسخ مزيفة من أدوات Logitech للذكاء الاصطناعي. تتميز البرمجية بقدرتها على الانتشار الذاتي عبر تطبيقات واتساب وأوتلوك لسرقة البيانات الحساسة للمستخدمين."

مقدمة تحليلية

في تطور مقلق يعكس استغلال المهاجمين لتريند الذكاء الاصطناعي المتصاعد، تم الكشف عن برمجية خبيثة متطورة تُعرف باسم TCLBanker. هذه البرمجية لا تكتفي باستهداف البيانات التقليدية، بل تركز هجماتها بدقة على 59 منصة من منصات الخدمات المصرفية، والتكنولوجيا المالية (Fintech)، ومنصات تداول العملات المشفرة (Cryptocurrency). ما يجعل هذا التهديد استثنائيًا هو وسيلة التسلل؛ حيث يستخدم المهاجمون حزم تثبيت MSI ملغومة تدعي أنها أداة Logitech AI Prompt Builder، وهي أداة شرعية أصدرتها شركة لوجيتك مؤخرًا لتعزيز الإنتاجية عبر الذكاء الاصطناعي. هذا النوع من الهجمات يُعرف بـ Trojanization، حيث يتم دمج الكود الخبيث داخل برنامج يبدو موثوقًا لخداع المستخدمين الأكثر حذرًا.

تكمن الخطورة الكبرى في قدرة TCLBanker على الانتشار الذاتي (Self-spreading)، وهو سلوك يحاكي الديدان البرمجية (Worms) الكلاسيكية ولكن بأدوات عصرية. البرمجية مصممة للوصول إلى تطبيقات التواصل والبريد الإلكتروني مثل WhatsApp و Outlook واستخدامها كمنصة لنشر روابط أو ملفات مصابة لجهات الاتصال الخاصة بالضحية، مما يمنح الهجمة طابع الموثوقية لأن الرسالة تصل من مصدر معروف. إن هذا التحول في استراتيجيات الاختراق يشير إلى عصر جديد من التهديدات السيبرانية التي تدمج بين الهندسة الاجتماعية المعتمدة على الذكاء الاصطناعي والتقنيات البرمجية ذاتية التكرار.

التحليل التقني

تعتمد برمجية TCLBanker في جوهرها على آلية معقدة لضمان التخفي والاستمرارية داخل الأنظمة المصابة. تبدأ الرحلة بملف MSI (Windows Installer) الذي يبدو متطابقًا من حيث الواجهة مع برنامج Logitech الرسمي. بمجرد بدء التثبيت، يقوم المثبت الملغوم بتنفيذ سكربتات مخفية (غالباً PowerShell أو Python محول إلى EXE) تقوم بالعمليات التالية:

  • حقن الكود (Code Injection): يتم حقن الكود الخبيث في عمليات النظام الشرعية لتجنب اكتشافه من قبل برامج مكافحة الفيروسات التقليدية التي تعتمد على التواقيع (Signatures).
  • استهداف المنصات: تم رصد قائمة تضم 59 تطبيقاً وموقعاً مستهدفاً، تشمل بنوكاً عالمية ومنصات كبرى مثل Binance و Coinbase، بالإضافة إلى محافظ العملات المشفرة الساخنة (Hot Wallets).
  • آلية الانتشار عبر WhatsApp: تستفيد البرمجية من واجهات البرمجة أو تقوم بمحاكاة نقرات المستخدم (UI Automation) لإرسال رسائل ملغومة إلى المجموعات وجهات الاتصال، محفزة إياهم على تحميل 'أداة الذكاء الاصطناعي الجديدة'.
  • تجاوز Outlook: تقوم البرمجية بالوصول إلى دفتر العناوين في Outlook وإرسال رسائل بريد إلكتروني تحتوي على المرفق الخبيث، مما يزيد من احتمالية إصابة الشركات والمؤسسات التي تعتمد على البريد الإلكتروني كقناة رسمية.

تقنياً، تستخدم TCLBanker تقنيات DLL Sideloading لتحميل ملفات مكتبية خبيثة بجانب ملفات تنفيذية شرعية، وهو ما يجعل مراقبة العمليات (Process Monitoring) أمراً صعباً للغاية. كما أنها تمتلك قدرة على سحب ملفات تعريف الارتباط (Cookies) وبيانات تسجيل الدخول المخزنة في المتصفحات، مما يسمح للمهاجمين بتجاوز التحقق الثنائي (2FA) في بعض الحالات عبر سرقة الجلسات النشطة (Session Hijacking).

السياق وتأثير السوق

تأتي هذه الهجمة في سياق تزايد استخدام 'أدوات الإنتاجية' كطعم للمحترفين. سوق التكنولوجيا المالية اليوم يشهد نمواً هائلاً، حيث تبلغ قيمة الأصول الرقمية والتحويلات البنكية عبر الإنترنت تريليونات الدولارات، مما يجعلها الهدف الأول لمجموعات الجريمة الإلكترونية المنظمة. مقارنة ببرمجيات سابقة مثل Emotet أو Qakbot، تبرز TCLBanker بتركيزها النوعي على 'الذكاء الاصطناعي' كعنوان للهندسة الاجتماعية.

تأثير ذلك على السوق يتجاوز مجرد سرقة الأموال؛ فهو يضعف الثقة في الأدوات البرمجية التي تطلقها شركات العتاد الكبرى مثل Logitech. الشركات الآن مضطرة لمراجعة سلاسل توريد البرمجيات (Software Supply Chain) والتأكد من أن شهادات التوقيع الرقمي (Digital Certificates) الخاصة بها لم يتم تسريبها أو إساءة استخدامها. بالنسبة لمنصات التداول الـ 59 المستهدفة، فإن هذا يعني ضرورة تحديث بروتوكولات الأمان الخاصة بها للكشف عن محاولات تسجيل الدخول القادمة من بيئات مصابة بـ TCLBanker، وزيادة الاعتماد على التحقق الحيوي (Biometric Authentication) بدلاً من كلمات المرور التقليدية.

رؤية Glitch4Techs

من وجهة نظرنا التقنية في Glitch4Techs، نرى أن TCLBanker هي مجرد قمة جبل الجليد. استغلال 'الهوس بالذكاء الاصطناعي' لتحميل برمجيات خبيثة هو تكتيك سيستمر ويتطور. المشكلة الحقيقية ليست في أداة لوجيتك نفسها، بل في 'ثقافة التحميل' العشوائية التي يتبعها المستخدمون للحصول على أحدث الميزات التقنية. نحن نتوقع أن نرى نسخاً مشابهة تستهدف أدوات OpenAI و Google Gemini المزيفة في القريب العاجل.

توصياتنا الأمنية تتلخص في النقاط التالية:

  • التحقق من المصدر: لا تقم بتحميل أي أداة ذكاء اصطناعي إلا من الموقع الرسمي للشركة (مثلاً logitech.com) وتجنب الروابط المرسلة عبر واتساب أو الإعلانات الجانبية.
  • استخدام Sandbox: للمحترفين والتقنيين، يفضل اختبار الأدوات الجديدة داخل بيئة معزولة (Virtual Machine) قبل تنصيبها على الجهاز الأساسي الذي يحتوي على بيانات مالية.
  • تفعيل الحماية المتقدمة: يجب الاعتماد على حلول EDR (Endpoint Detection and Response) التي تراقب سلوك البرامج بدلاً من ملفاتها فقط، حيث يمكنها اكتشاف السلوك 'الدودي' للانتشار عبر Outlook و WhatsApp.

ختاماً، إن TCLBanker تذكرنا بأن الأمان السيبراني هو عملية مستمرة وليس مجرد برنامج حماية؛ فالمهاجمون يطورون أدواتهم بنفس سرعة تطور الابتكارات التي نستخدمها يومياً.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.