في عصر أصبح فيه استخدام تطبيقات الحماية وتصفح الإنترنت المشفّر أمرًا شائعًا بين المستخدمين، برزت في الأشهر الأخيرة ظاهرة مقلقة تتمثل في استغلال القراصنة لهذه الثقة.
فقد كشفت تقارير أمنية عن حملة إلكترونية معقدة يقودها مهاجمون محترفون، يتخفون خلف تطبيقات وهمية تشبه تطبيقات الشبكات الخاصة (VPN) وبرامج تصفح الإنترنت، لتوزيع برمجيات خبيثة تعرف باسم “وينوس 4.0”.
الحملة التي بدأت منذ فبراير 2025، وفقًا لشركة الأمن السيبراني “رابيد 7″، تعتمد على تطبيقات مزيفة تحمل أسماء قريبة من تطبيقات حقيقية وموثوقة مثل “ليتس في بي إن” ومتصفح “كيو كيو”، مما يجعل المستخدمين غير المتخصصين يقعون في الفخ بسهولة. هذه التطبيقات تقوم بتحميل البرمجية الخبيثة إلى الأجهزة، دون علم المستخدم، وتنفذ عملياتها من داخل ذاكرة الحاسوب مباشرة، مما يجعل اكتشافها أكثر صعوبة.
السلاح الخفي
تعتمد الهجمة على أداة تحميل خبيثة تدعى “كاتينا”، تعمل بطريقة ذكية للغاية، حيث لا تترك أثرًا واضحًا على الجهاز المصاب، ولا تحفظ ملفاتها في القرص الصلب، بل تبقى نشطة في الذاكرة. هذه الطريقة تجعل برامج الحماية التقليدية عاجزة عن رصدها، خصوصًا وأنها تستخدم شيفرات متغيرة وآليات تضليل موجهة ضد آليات الحماية الآلي
البرمجية “وينوس 4.0” – أو كما يُطلق عليها في أوساط الأمن الرقمي “وادي رات” – ليست جديدة كليًا، بل هي نسخة متقدمة من برمجية شهيرة تدعى “شبح رات”، صممت للتحكم الكامل عن بعد في الأجهزة المصابة. الجديد في هذه النسخة هو قدرتها على جمع معلومات مفصلة من داخل النظام، وتسجيل النشاطات، بل وحتى تنفيذ هجمات على الشبكات تعطّلها بشكل كامل.
بمجرد تثبيت البرمجية عبر مثبت خادع يشبه في مظهره البرامج الرسمية، تبدأ عملية السيطرة على الجهاز. وتقوم بإرسال أوامر واستقبال بيانات من خلال ممرات اتصال إلكترونية خفية، مثل منفذي “تي سي بي 18856” و”إتش تي تي بي إس 443″، وتنشئ مهامًا خفية داخل النظام تضمن بقاءها حتى بعد إعادة التشغيل.
تركيز خاص على اللغة الصينية.. لكن الخطر أوسع
ورغم أن البرمجية تجري فحصًا للغة النظام المستعمل، ويبدو أنها تبحث عن إعدادات اللغة الصينية تحديدًا، إلا أن هذه الميزة لم تفعّل بشكل صارم بعد، مما يشير إلى احتمال توسيع نطاق الهجمات مستقبلًا لتشمل مستخدمين بلغات وأنظمة مختلفة.
أظهرت تقارير أمنية أن الهجمات لم تقتصر على الأفراد، بل طالت مؤسسات رسمية في تايوان، حيث تلقّت جهات حكومية رسائل إلكترونية تنتحل صفة “هيئة الضرائب الوطنية”، احتوت على روابط تؤدي إلى تنزيل البرمجيات الخبيثة. هذا الأسلوب يعرف بالتصيّد الإلكتروني، ويعتمد على خداع المستخدم من خلال انتحال هوية جهة موثوقة.
التحايل عبر ملفات تنفيذية مزيّفة وتوقيعات رقمية منتهية
الخطير في هذه الهجمة هو اعتماد القراصنة على ملفات تنفيذية تظهر وكأنها موقّعة من شركات حقيقية. بعض هذه الملفات تحمل توقيعًا رقميًا يزعم الانتماء إلى شركة تقنية شهيرة، إلا أن الشهادات الرقمية المرفقة غالبًا ما تكون منتهية الصلاحية، ما يعني أنها فقدت مصداقيتها، ولكن لا تزال قادرة على خداع بعض أنظمة التشغيل والمستخدمين غير المتيقظين.
تشير الأدلة التقنية إلى أن مجموعة قرصنة معروفة في الأوساط الأمنية باسم “الثعلب الفضي” أو “العنكبوت الفارغ”، تقف وراء هذه الهجمة المعقدة. وتتميّز هذه المجموعة بتكتيكات متقدمة وقدرتها على التخفّي واستهداف مناطق معينة بدقة، خصوصًا المجتمعات الناطقة بالصينية. وتتشابه هذه الهجمة مع هجمات سابقة نسبت إليهم، سواء في البنية البرمجية أو في طرق السيطرة على الأجهزة.
رسالة للمستخدم العادي
النتيجة الأهم التي يمكن الخروج بها من هذه الحملة هي أن مظهر البرنامج وحده لا يكفي لضمان سلامته. فالعديد من المستخدمين يثقون بتطبيقات الحماية دون التحقق من مصدرها الحقيقي. ومع ازدياد اعتماد القراصنة على الذاكرة بدل الملفات التقليدية، يصبح من الضروري استخدام أدوات حماية أكثر تطورًا، وتحديث الأنظمة بشكل دوري، وتجنّب تحميل أي برامج من مواقع غير رسمية أو غير معروفة.
ما نواجهه اليوم لم يعد مجرد محاولة احتيال بسيطة، بل حملة محكمة يقودها قراصنة ذوو خبرة، يعرفون كيف يخفون أدواتهم، ويستغلون الثغرات النفسية قبل التقنية. ومن هنا، يصبح الوعي الرقمي والتدريب على التفكير النقدي في التعامل مع الروابط والبرامج أهم وسيلة دفاع بيد المستخدم.
