الأمن السيبراني
تحذيرات أمنية عاجلة.. بوتات ضخمة تخترق المواقع
تقرير خاص أخبار تك
في تطورين خطيرين خلال الأيام الأخيرة، رفع خبراء الأمن السيبراني درجة التأهب إلى مستوى غير مسبوق. فمن جهة، حذر باحثون من بوتات ضخمة تُستخدم لاستغلال ثغرة حرجة في منتجات “سيتريكس” (Citrix) تسمح باختراق المواقع بالكامل. ومن جهة أخرى، كشفت شركة “ثريت فابريك” (ThreatFabric) عن برمجية خبيثة جديدة لأجهزة أندرويد تُدعى “بيرسيوس” (Perseus)، تمتلك قدرة فريدة على فتح تطبيقات الملاحظات (مثل Google Keep وSamsung Notes) وتفتيش محتوياتها بحثاً عن كلمات المرور وعبارات استرداد العملات المشفرة .
هذا التقرير يستعرض بالتفصيل كلا التهديدين، ويقدم إرشادات عملية لحماية بياناتك.
بوتات ضخمة تهدد البنية التحتية للمواقع
ثغرة حرجة في “سيتريكس” (Citrix)
كشف باحثون أمنيون عن استغلال نشط لثغرة خطيرة في منتجات “سيتريكس” (Citrix) تُستخدم في البنية التحتية للمواقع والشبكات الخاصة الافتراضية (VPN). الثغرة، التي تسمح بتنفيذ أوامر برمجية عن بُعد (Remote Code Execution)، تتيح للمهاجمين السيطرة الكاملة على الخوادم المستهدفة .
بوتات ضخمة (Botnets) – وهي شبكات من أجهزة مخترقة تُستخدم لشن هجمات واسعة – تستغل هذه الثغرة لاختراق المواقع، وتُقدر الأضرار المحتملة بأنها قد تكون “كارثية” ، خاصة إذا استهدفت بنى تحتية حيوية مثل أنظمة الطاقة أو المياه أو الخدمات المصرفية.
ما العمل؟ توصي السلطات الأمنية جميع المؤسسات والأفراد بتطبيق التحديثات الأمنية الصادرة عن “سيتريكس” فوراً، وعزل الأنظمة غير المحدثة عن الشبكة حتى اكتمال التحديث.
برمجية “بيرسيوس” (Perseus) – خطر جديد على أجهزة أندرويد
من أين تأتي؟
تنتشر برمجية “بيرسيوس” الخبيثة عبر تطبيقات IPTV غير قانونية تُنزل من متاجر خارجية غير رسمية، وليس من متجر Google Play الرسمي . المستخدمون الذين يبحثون عن طرق رخيصة لمشاهدة البث الرياضي أو القنوات التلفزيونية يقعون ضحية لهذه التطبيقات. على سبيل المثال، تم رصد برمجية “بيرسيوس” داخل تطبيق مزيف باسم “Roja Directa TV”، وهو تطبيق معروف بمشاكله القانونية سابقاً .
هذا التطبيق، عند تثبيته، يطلب صلاحيات خطيرة (مثل صلاحيات إمكانية الوصول Accessibility Services) تحت ذرائع وهمية، ثم يبدأ في تنفيذ مهامه الخبيثة في الخلفية.
ماذا تفعل هذه البرمجية؟
تتمتع “بيرسيوس” بقدرات تجعلها من أخطر البرمجيات الخبيثة التي ظهرت مؤخراً:
1. السيطرة الكاملة على الجهاز
بمجرد حصولها على صلاحيات إمكانية الوصول، تستطيع “بيرسيوس” تنفيذ مجموعة واسعة من الأوامر عن بُعد :
- تصوير الشاشة باستمرار (Start VNC): التقاط كل ما تفعله على هاتفك وبثه للمهاجم في الزمن الفعلي.
- محاكاة النقرات والإيماءات: التحكم في هاتفك كما لو كان المهاجم يمسكه بيده.
- فتح تطبيقات وحظرها.
- تشغيل شاشة سوداء: إخفاء نشاطه الخبيث عن عينيك.
- هجمات التراكب (Overlay Attacks) : عرض نوافذ مزيفة تحاكي تطبيقات البنوك لسرقة بيانات دخولك.
2. الميزة الفريدة: البحث في الملاحظات
ما يميز “بيرسيوس” حقاً هو قدرتها غير المسبوقة على فتح تطبيقات الملاحظات وتصفح محتوياتها سطراً سطراً . التطبيقات المستهدفة تشمل:
| التطبيق | الشركة/المطور |
|---|---|
| Google Keep | جوجل |
| Samsung Notes | سامسونج |
| Xiaomi Notes | شاومي |
| ColorNote | ColorNote |
| Evernote | Evernote |
| Microsoft OneNote | مايكروسوفت |
| Simple Notes Pro | Simple Mobile Tools |
تستخدم البرمجية أمراً مدمجاً يُدعى “scan_notes” لفتح هذه التطبيقات واحدة تلو الأخرى، واستخراج كل المحتوى النصي الموجود فيها . ثم ترسل هذا المحتوى إلى خادم القيادة والتحكم (C2) التابع للمهاجم.
3. استهداف الخدمات المصرفية والعملات المشفرة
تم تصميم “بيرسيوس” بشكل خاص لاستهداف:
- 17 مؤسسة مالية في تركيا
- 15 مؤسسة في إيطاليا
- 5 في بولندا، 3 في ألمانيا، و2 في فرنسا
- 9 تطبيقات للعملات المشفرة
من يقف وراءها؟
“بيرسيوس” مبنية على الأكواد البرمجية لبرمجيات خبيثة سابقة مثل سيربيروس (Cerberus) وفينيكس (Phoenix) . تتوفر بنسختين: الأولى باللغة التركية، والثانية باللغة الإنجليزية وهي أكثر تطوراً. وجود رموز تعبيرية (Emojis) بكثافة في الكود البرمجي للنسخة الإنجليزية دفع باحثي “ثريت فابريك” إلى الاعتقاد بأن أدوات الذكاء الاصطناعي استخدمت في تطويرها .
قبل أن تبدأ أي عملية سرقة، تجري “بيرسيوس” فحوصات معقدة للتأكد من أنها تعمل على جهاز حقيقي وليس في بيئة اختبارية (تحاكي السيرفرات الافتراضية)، مما يصعب اكتشافها من قبل فرق الأمن .
ماذا يعني هذا للمستخدم العربي؟
حتى الآن، تركزت الهجمات على تركيا وإيطاليا وبعض الدول الأوروبية . لكن هذا لا يعني أن المستخدم العربي في مأمن. إنها مسألة وقت قبل أن تتوسع هذه الحملات لتشمل المنطقة العربية، خاصة مع انتشار تطبيقات IPTV غير القانونية بشكل كبير في العالم العربي. كما أن استهداف تطبيقات مثل Samsung Notes وMicrosoft OneNote (شائعة الاستخدام في المنطقة) يجعل المستخدم العربي هدفاً محتملاً.
الخطر الأكبر: الكثير من المستخدمين يلجأون إلى تطبيقات الملاحظات لحفظ كلمات المرور، عبارات استرداد محافظ العملات المشفرة (Seed Phrases)، والبيانات المصرفية، معتبرين أنها “مكان آمن”. هذا الاعتقاد هو ما يستغله هذا النوع من البرمجيات الخبيثة .
كيف تحمي نفسك؟ نصائح عملية
للحماية من بوتات السيتريكس
- تحديث البرامج فوراً: تأكد من تحديث جميع برامج “سيتريكس” (Citrix) إلى أحدث إصدار.
- مراقبة الشبكة: تابع حركة المرور غير العادية على الشبكة.
للحماية من برمجية “بيرسيوس” (Perseus) على أندرويد
- لا تحمل تطبيقات من خارج المتجر الرسمي: هذه هي القاعدة الذهبية. تجنب تنزيل تطبيقات IPTV أو أي تطبيقات من مصادر غير موثوقة .
- فعّل Google Play Protect: تأكد من أن هذه الميزة مفعلة على هاتفك، فهي تفحص التطبيقات بشكل دوري بحثاً عن السلوك الضار .
- راجع الصلاحيات بعناية: إذا طلب منك تطبيق “مشاهدة التلفزيون” صلاحية “إمكانية الوصول” (Accessibility)، فهذه علامة خطر حمراء كبيرة. لا تمنح هذه الصلاحية أبداً إلا لتطبيقات تثق بها تماماً .
- لا تحفظ الأسرار في تطبيقات الملاحظات: هذه هي النصيحة الأهم. لا تستخدم أبداً تطبيقات مثل Google Keep أو Samsung Notes أو OneNote لتخزين كلمات المرور، أو عبارات استرداد العملات المشفرة، أو أرقام البطاقات الائتمانية . استخدم بدلاً من ذلك مدير كلمات مرور مخصص (Password Manager) مثل Bitwarden أو 1Password.
- حافظ على تحديث نظام التشغيل: التحديثات الأمنية تسد الثغرات التي قد تستغلها البرمجيات الخبيثة.
خلاصة: اليقظة هي خط الدفاع الأول
ظهور برمجية “بيرسيوس” وانتشارها يذكرنا بحقيقة مهمة: قراصنة اليوم ليسوا مجرد هواة، بل منظمات إجرامية تستخدم أحدث التقنيات، بما فيها الذكاء الاصطناعي، لابتكار طرق جديدة لاختراق خصوصيتنا . استهدافهم لتطبيقات الملاحظات هو اعتراف ضمني بأن سلوكنا الرقمي – كحفظ الأسرار في “مكان سري” – هو أسهل طريق لهم لسرقة أغلى ما نملك.
الوعي هو السلاح الأقوى. معرفة كيف تعمل هذه التهديدات، وتغيير عاداتنا السيئة في حفظ المعلومات الحساسة، هو أفضل استثمار يمكننا القيام به لحماية أنفسنا وأموالنا.
