كشف باحثون في الأمن السيبراني عن حملة منسقة استخدمت 131 إضافة مستنسخة من أداة أتمتة لـWhatsApp Web على متصفح Google Chrome لإرسال كميات هائلة من الرسائل المزعجة إلى المستخدمين في البرازيل. ووفقاً لشركة Socket المتخصصة في أمن سلاسل الإمداد البرمجية، تشترك هذه الإضافات في البنية البرمجية نفسها والتصميم ذاته والبنية التحتية ذاتها، ويبلغ عدد مستخدميها النشطين نحو 20,900 مستخدم.
وأوضح الباحث الأمني كيريل بويتشينكو أن هذه الإضافات ليست برمجيات خبيثة تقليدية، لكنها أدوات عالية الخطورة تستخدم في أتمتة الرسائل الجماعية بطريقة تنتهك قواعد المنصة. وأضاف أن الكود يحقن مباشرة في صفحة WhatsApp Web ليعمل بجانب سكربتات التطبيق الأصلية، ما يسمح بأتمتة الإرسال والجدولة لتجاوز أنظمة مكافحة الرسائل المزعجة.
وتهدف الحملة إلى تنفيذ إرسال جماعي للرسائل عبر WhatsApp مع تجاوز حدود الإرسال والضوابط الأمنية التي يفرضها النظام. وتشير التحليلات إلى أن النشاط مستمر منذ ما لا يقل عن 9 أشهر، مع رصد عمليات تحميل وتحديث جديدة حتى 17 أكتوبر 2025. ومن أبرز الإضافات التي تم تحديدها YouSeller (10,000 مستخدم) وperformancemais (239 مستخدماً) وBotflow (38 مستخدماً) وZapVende (32 مستخدماً).
وتبين أن الإضافات تحمل أسماء وشعارات مختلفة لكنها جميعاً تنشر من حسابات مرتبطة بمطورين يحملون أسماء WL Extensão وWLExtensao، ويعتقد أن هذا التنوع في العلامات التجارية ناتج عن نموذج امتياز تجاري يسمح لشركاء محليين بإعادة تسمية الإضافة الأصلية التي طورتها شركة DBX Tecnologia وبيعها عبر متجر Chrome Web Store.
وتسوق هذه الإضافات نفسها على أنها أدوات لإدارة علاقات العملاء (CRM) في WhatsApp تساعد في تحسين المبيعات عبر أتمتة الرسائل وجدولتها. وجاء في وصف إضافة ZapVende على المتجر: “حول WhatsApp إلى أداة قوية لإدارة المبيعات والعملاء، مع نظام رسائل جماعية وجدولة ومتابعة العملاء في واجهة مرئية سهلة الاستخدام”.
وبحسب Socket، تروج DBX Tecnologia لبرنامج امتياز يتيح للوكلاء إعادة بيع الإضافة بعلامتهم الخاصة مقابل استثمار يقارب 12 ألف ريال برازيلي، مع وعود بعوائد شهرية تتراوح بين 30 و84 ألف ريال برازيلي. لكن هذه الممارسة تنتهك سياسات جوجل الخاصة بمتجر Chrome Web Store، التي تحظر تقديم إضافات متعددة تؤدي الوظيفة نفسها أو تستخدم في إساءة الاستخدام. كما نشرت الشركة مقاطع على يوتيوب تشرح كيفية تجاوز خوارزميات مكافحة الرسائل المزعجة في WhatsApp.
وأشار بويتشينكو إلى أن السلسلة يتألف من نسخ متطابقة تقريباً تدار من حسابات مختلفة، تسوق للإرسال الجماعي غير المرغوب وتنفذ عمليات إرسال تلقائي داخل WhatsApp دون موافقة المستخدم، بهدف إبقاء الحملات مستمرة مع تجنب أنظمة المكافحة.
ويأتي هذا الكشف في الوقت الذي أعلنت فيه شركات Trend Micro وSophos وKaspersky عن حملة واسعة تستهدف المستخدمين في البرازيل عبر دودة WhatsApp تعرف باسم SORVEPOTEL، تستخدم لتوزيع حصان طروادة مصرفي يعرف باسم Maverick.
