وتشير الدراسات إلى أن 70% من مواقع الويب الأمريكية الكبرى تستمر في إسقاط ملفات تعريف الارتباط الإعلانية حتى عندما يختار المستخدمون رفضها ، مما يعرض الشركات لمخاطر الامتثال، وفقدان الثقة، وأضرار السمعة. إن الفجوة بين ما تعلنه المؤسسات حول الخصوصية وما يحدث فعليًا تؤدي إلى تداعيات قانونية جسيمة، فقد  اعتمدت العديد من المؤسسات على عمليات تدقيق دورية، وإشعارات ملفات تعريف الارتباط، لكن هذه الأساليب لم تعد قادرة على مواكبة تعقيدات الويب الحديث. في المقابل، أصبح التحقق المستمر للخصوصية ضروريًا لضمان الامتثال المستدام وحماية البيانات.

أخطار البرامج التقليدية لخصوصية الويب:

– جمع بيانات غير مصرح به عبر أدوات تحليل أو إعلانات لا تتوافق مع سياسات الخصوصية المعلنة.
– آليات الموافقة غير الفعالة التي يتم إعادة تعيينها مع تحديثات الموقع، مما يؤدي إلى إسقاط ملفات تعريف الارتباط قبل منح المستخدمين موافقتهم.
– عدم الامتثال لقوانين الخصوصية مثل GDPR و CCPA نتيجة لانتهاكات غير مقصودة في استمارات جمع البيانات أو الأدوات الخارجية.

وتفتقر البرامج التقليدية للخصوصية إلى المتابعة المستمرة، مما يؤدي إلى “انجراف الخصوصية الصامت” ، حيث يتم إضافة عناصر جديدة دون مراجعة دقيقة، وقد يمر التسريب غير الملحوظ لشهور قبل اكتشافه. في المقابل، توفر أدوات التحقق المستمر مراقبة تلقائية لأي تغيير يحدث على صفحات الموقع أو عند تنفيذ أكواد جديدة، مما يمكن الفرق الأمنية من اكتشاف المشاكل ومعالجتها في ساعات وليس شهورًا.

أحد الأمثلة البارزة هو متجر تجزئة عالمي قام بإطلاق برنامج ولاء للعملاء، لكنه لم يدرك أن هناك برنامج خارجي كان يرسل بيانات البريد الإلكتروني للعملاء إلى جهة غير معلومة لمدة أربعة أشهر، مما أدى إلى غرامة بقيمة 4.5 مليون يورو، وفضيحة إعلامية، وفقدان الثقة. كان يمكن لتقنيات التحقق المستمر أن تكتشف هذه المشكلة خلال ساعات فقط بدلاً من شهور.

استعدادًا للوائح الخصوصية القادمة في عام 2025

تشمل القوانين المستقبلية مثل قانون الذكاء الاصطناعي الأوروبي EU AI Act و قانون حماية الخصوصية في نيوهامبشاير NHPA متطلبات جديدة تتطلب:
– آليات متقدمة للتحقق من الامتثال.
– وسائل موافقة ديناميكية تستجيب لإعدادات خصوصية المستخدمين.
– تدقيق تقني صارم لضمان معالجة البيانات وفقًا للسياسات.
– آليات نقل البيانات عبر الحدود وفق معايير مشددة.

تم اكتشاف هذه الحملة لأول مرة بواسطة Rapid7 في فبراير 2025، وتتضمن استخدام محمِّل متعدد المراحل يسمى Catena، والذي يعمل في الذاكرة دون ترك أثر على القرص.

وأوضح الباحثان الأمنيان آنا شيروكوفا وإيفان فيغل أن “Catena يستخدم شفرات تنفيذ مضمنة ومنطق تبديل التكوين لتحميل حمولات مثل Winos 4.0 بالكامل في الذاكرة، مما يتجنب اكتشاف أدوات مكافحة الفيروسات التقليدية. وبعد التثبيت، يتصل بهدوء بخوادم يتحكم فيها المهاجمون – معظمها مستضاف في هونغ كونغ – لاستقبال تعليمات إضافية أو برمجيات خبيثة أخرى.”

تستهدف هذه الهجمات – مثل تلك التي نشرت Winos 4.0 سابقًا – بشكل خاص البيئات الناطقة بالصينية، حيث أشارت الشركة إلى “التخطيط الدقيق طويل المدى” من قبل جهة تهديد ذات كفاءة عالية.

ما هو Winos 4.0؟

تم توثيق Winos 4.0 (المعروف أيضًا باسم ValleyRAT) لأول مرة بواسطة Trend Micro في يونيو 2024، حيث استُخدم في هجمات تستهدف الناطقين بالصينية عبر ملفات Windows Installer (MSI) خبيثة لتطبيقات VPN. نُسبت هذه الأنشطة إلى مجموعة تهديدات تُعرف باسم Void Arachne (أو Silver Fox).

في حملات لاحقة، تم توزيع البرمجية الخبيثة عبر تطبيقات متعلقة بالألعاب مثل أدوات التثبيت ومسرعات الألعاب وبرامج التحسين. كما استهدفت موجة هجوم أخرى في فبراير 2025 كيانات في تايوان عبر رسائل تصيد احتيالي تدعي أنها صادرة من المصلحة الوطنية للضرائب.

كيف يعمل Winos 4.0؟

بُني Winos 4.0 على أساس برنامج Gh0st RAT، وهو إطار عمل خبيث متقدم مكتوب بلغة C++ يستخدم نظامًا قائمًا على الملحقات لجمع البيانات، وتوفير وصول عن بعد، وإطلاق هجمات حجب الخدمة الموزعة (DDoS).

سلسلة العدوى عبر متصفح QQ Browser

أشارت Rapid7 إلى أن جميع الأدوات المكتشفة في فبراير 2025 اعتمدت على مثبتات NSIS مزودة بتطبيقات طعم موقعة، وشفرات تنفيذ مضمنة في ملفات .ini، وحقن DLL عاكس للحفاظ على التواجد الخفي وتجنب الاكتشاف.

تبدأ العملية بمثبت NSIS مخادع يتظاهر بأنه مثبت لمتصفح QQ Browser (مطور من قبل Tencent)، مصمم لتسليم Winos 4.0 باستخدام Catena. تتصل البرمجية الخبيثة بخوادم C2 محددة مسبقًا عبر منفذ TCP 18856 وHTTPS 443.

تطور الهجوم: من LetsVPN إلى Winos 4.0

في أبريل 2025، لوحظ تحول تكتيكي في الحملة، حيث تمويه المثبت كملف إعداد لـ LetsVPN، مع تنفيذ أمر PowerShell لإضافة استثناءات في Microsoft Defender لجميع محركات الأقراص (من C:\ إلى Z:). ثم يقوم بإسقاط حمولات إضافية، بما في ذلك ملف تنفيذي يتحقق من وجود برامج مثل 360 Total Security.

يتم توقيع هذا الملف بشهادة منتهية الصلاحية صادرة عن VeriSign، ويعود لشركة Tencent Technology. تتمثل مهمته الأساسية في تحميل ملف DLL يتصل بخادم C2 لتنزيل وتنفيذ Winos 4.0.

الخلاصة

تُظهر هذه الحملة عملية برمجيات خبيثة منظمة تركز على منطقة جغرافية معينة، باستخدام مثبتات NSIS مخادعة لتسليم Winos 4.0 بهدوء. وتعتمد بشدة على الحمولات المقيمة في الذاكرة، وتحميل DLL العاكس، وتطبيقات طعم موقعة بشهادات شرعية لتجنب الاكتشاف. تشير أوجه التشابه في البنية التحتية والاستهداف اللغوي إلى صلات بمجموعة Silver Fox APT، مع أنشطة محتملة تستهدف الناطقين بالصينية.

كلمات مفتاحية