في ظل التطور المتسارع للتهديدات الرقمية، كشف خبراء شركة كاسبرسكي عن ظهور برمجية خبيثة متطورة تُعرف باسم "GoPix". هذا التهديد، الذي صُنف كحصان طروادة (Trojan) برازيلي المنشأ، لا يستهدف الأجهزة فحسب، بل يسعى بشكل مباشر للسيطرة على المعلومات المالية الحساسة عبر حملات إعلانية احتيالية شديدة التعقيد تستهدف عملاء البنوك ومتداولي العملات المشفرة حول العالم.
- ✅ يستهدف GoPix سرقة البيانات المصرفية ومحافظ العملات الرقمية عبر إعلانات مزيفة.
- ✅ ينتحل البرنامج صفة تطبيقات عالمية موثوقة مثل "واتساب" ومتصفح "جوجل كروم".
- ✅ يستخدم تقنيات متقدمة للتمييز بين المستخدمين الحقيقيين والأنظمة الأمنية الآلية.
- ✅ يعتمد على هجمات "الوسيط" لمراقبة وتعديل المعاملات المالية في الوقت الفعلي.
آلية عمل GoPix: كيف يسقط المستخدمون في فخ الإعلانات الخبيثة؟
منذ رصده لأول مرة في عام 2023، أظهر GoPix ذكاءً حاداً في الوصول إلى ضحاياه. ينفذ مجرمو الإنترنت حملاتهم عبر "الإعلانات الخبيثة" على منصات شهيرة مثل إعلانات جوجل، حيث تظهر للمستخدم إعلانات وهمية تدعي أنها روابط رسمية لتحميل تطبيق واتساب أو تحديث متصفح جوجل كروم.
بمجرد نقر الضحية على الإعلان، يتم توجيهه إلى صفحات احتيالية مصممة بدقة. هنا تبرز الميزة الأخطر للبرنامج؛ حيث يستخدم حصان الطروادة أنظمة متقدمة لتقييم سمعة عناوين IP. تهدف هذه الخطوة إلى التأكد مما إذا كان الزائر "إنساناً مستهدفاً" أم "برنامجاً آلياً" تابعاً لشركات الأمن السيبراني. إذا استشعر البرنامج وجود خطر كشفه، فإنه يتوقف عن العمل فوراً ولا يقوم بتثبيت الحمولة الخبيثة، مما يجعله صعب التتبع.
قدرات تدميرية: هجمات الوسيط والتلاعب بالعملات الرقمية
لا يتوقف نشاط GoPix عند سرقة كلمة مرور فقط، بل يمتلك قدرات تقنية لشن ما يعرف بـ "هجمات الوسيط" (Man-in-the-Middle). تتيح هذه التقنية للمهاجمين اعتراض حركة مرور البيانات بين جهاز الضحية والبنك، مما يسمح لهم بمراقبة عمليات الدفع وتعديل تفاصيل المعاملات المالية والعملات الرقمية لصالحهم دون علم المستخدم.
بالإضافة إلى ذلك، تم تزويد GoPix بآليات "تنظيف" متقدمة، وهي وظائف برمجية تهدف إلى مسح آثار وجوده من النظام بعد تنفيذ الهجوم، مما يعيق بشكل كبير جهود التحليل الجنائي الرقمي وفرق الاستجابة للحوادث الأمنية في المؤسسات المالية.
تكتيكات المجموعات المتقدمة (APT) في برمجية GoPix
أشار محللو الأمن الرقمي إلى أن المجموعة البرازيلية المسؤولة عن هذا التهديد بدأت في تبني تكتيكات كانت حكراً على مجموعات التهديد المستمر المتقدمة (APT). من أبرز هذه التكتيكات تحميل الوحدات البرمجية مباشرة في "ذاكرة الوصول العشوائي" (RAM) بدلاً من القرص الصلب، مما يقلل من بصمة البرنامج الرقمية ويجعله غير مرئي لبرامج مكافحة الفيروسات التقليدية التي تعتمد على فحص الملفات.
كما يستخدم المهاجمون أوصافاً مبنية على أنماط معقدة (قواعد YARA) للتحايل على أدوات البحث عن التهديدات، مما يضمن استمرارية البرنامج الخبيث لفترات طويلة داخل الأجهزة المخترقة قبل اكتشافه.
ما هي الطريقة الرئيسية التي ينتشر بها حصان الطروادة GoPix؟
ينتشر GoPix بشكل أساسي من خلال حملات إعلانية مضللة على محركات البحث (Malvertising). يقوم المهاجمون بإنشاء إعلانات تظهر للمستخدمين عند بحثهم عن تطبيقات شهيرة مثل واتساب أو متصفحات الويب، وبمجرد النقر عليها، يتم توجيه الضحية إلى موقع ويب خبيث يبدأ عملية الاختراق.
كيف يمكن لبرمجية GoPix سرقة الأموال والعملات المشفرة؟
يعمل البرنامج كـ "وسيط" بين المستخدم والخدمة المالية. يمكنه مراقبة ما يكتبه المستخدم، واعتراض بيانات تسجيل الدخول، بل وتغيير عناوين محافظ العملات الرقمية أثناء عملية التحويل، بحيث تذهب الأموال إلى حساب المهاجم بدلاً من الوجهة المقصودة.
لماذا يصعب على برامج الحماية العادية اكتشاف هذا التهديد؟
بسبب استخدامه لتقنيات متطورة مثل "التحميل في الذاكرة" (In-memory loading)، حيث لا يترك البرنامج ملفات دائمة على القرص الصلب ليتم فحصها. كما أنه يتحقق من هوية الزائر قبل تفعيل نفسه لتجنب الوقوع في "بيئات الاختبار" التي يستخدمها خبراء الأمن.
ما هي أفضل النصائح للوقاية من الوقوع ضحية لهذا الهجوم؟
ينصح الخبراء بضرورة تحميل التطبيقات من مصادرها الرسمية فقط (مثل متجر Play أو App Store)، وتجنب النقر على الروابط في الإعلانات الممولة، مع ضرورة استخدام حلول أمنية متكاملة وتحديث نظام التشغيل والتطبيقات بانتظام لسد الثغرات الأمنية.
🔎 في الختام، يمثل حصان طروادة GoPix تذكيراً قوياً بأن التهديدات السيبرانية لم تعد تقتصر على الفيروسات البسيطة، بل تحولت إلى أدوات استخباراتية ومالية معقدة. إن الوعي الرقمي واتباع ممارسات التحميل الآمن يظلان خط الدفاع الأول والأقوى لحماية مدخراتك وبياناتك الشخصية من الوقوع في أيدي المحتالين.
قم بالتعليق على الموضوع