كشفت دراسة حديثة عن ظهور سلالة جديدة من برامج الفدية تعرف باسم “جانا وير” (JanaWare)، تستهدف بشكل خاص المستخدمين في تركيا. ويعتمد هذا البرمجية الخبيثة على نسخة معدلة من حصان طروادة الوصول عن بعد المعروف باسم “أد ويند” (Adwind RAT) كوسيلة رئيسية للتسلل إلى الأنظمة.
وتتميز حملة “جانا وير” بتركيزها الجغرافي المحدد، ومطالب الفدية المنخفضة نسبياً. كما أنها تستخدم تقنيات متقدمة للتخفي، مما مكنها من البقاء بعيدة عن أعين برامج الأمان لسنوات.
برامج الفدية JanaWare تستهدف المستخدمين عبر Adwind RAT
تبدأ عملية الهجوم عندما يتلقى الضحية بريداً إلكترونياً يحمل محتوى تصيدياً، يتضمن رابطاً لملف أرشيف جافا (JAR) ضار مستضاف على منصة جوجل درايف. عند قيام الضحية بالنقر على الرابط عبر متصفح Outlook، يقوم Chrome بفتح الرابط وتحميل الملف. بعد ذلك، يتم تنفيذ الملف تلقائياً عبر أداة javaw.exe على نظام الضحية.
هذا التتابع السلس بين التطبيقات الموثوقة يجعل عملية الإصابة الأولية تبدو روتينية لكل من المستخدم وأدوات المراقبة الأمنية الأساسية. وبمجرد تشغيل ملف JAR، يقوم بتحميل نسخة مخصصة من Adwind RAT.
تجدر الإشارة إلى أن Adwind RAT هو أداة للوصول عن بعد تعتمد على لغة جافا، وقد تم تعديله بشكل كبير ليعمل كمنصة متعددة المراحل لإطلاق حمولة برامج الفدية “جانا وير”.
الكشف عن التهديد وتحليل الحملة
نجح باحثون في وحدة أبحاث التهديدات السيبرانية بشركة Acronis في رصد هذا التهديد بعد دراسة سلسلة من الاختراقات القائمة على Adwind RAT، والتي أظهرت سلوكيات غير معتادة على نقاط النهاية التركية. كشفت البيانات والتحليلات المعملية أن عينات Adwind المستخدمة في هذه الحملة تحتوي على وحدات إضافية وسكربتات ما بعد الاختراق لم تظهر في أي إصدارات سابقة معروفة لـ RAT.
وفقاً لتقرير Acronis TRU، يعود تاريخ النشاط لهذه الحملة إلى عام 2020 على الأقل. كما أكدت عينة تم تجميعها في نوفمبر 2025 أن البنية التحتية للقيادة والتحكم (C2) كانت لا تزال نشطة وقت التحليل.
تعمل “جانا وير” كوحدة برمجية للفدية يتم إسقاطها بشكل انتقائي بواسطة Adwind RAT بعد الاختراق الأولي. بعد اكتمال تشفير الملفات، تقوم البرمجية الخبيثة بترك ملاحظة فدية باللغة التركية في مجلدات متعددة، تحمل البادئة “ONEMLI NOT”، والتي تعني “ملاحظة هامة”.
مطالب الفدية المنخفضة ومسارات الاتصال المجهولة
تتراوح مطالبات الفدية في العينات التي تم تحليلها بين 200 و 400 دولار أمريكي، وهو مبلغ منخفض بشكل غير معتاد مقارنة بمجموعات برامج الفدية التي تستهدف الشركات الكبيرة. يبدو أن نموذج “القيمة المنخفضة، الحجم الكبير” هذا مصمم لتشجيع الدفع السريع من الأفراد والشركات الصغيرة الذين قد يفتقرون إلى الموارد أو الخبرة اللازمة للاستعادة.
يتواصل برنامج الفدية حصرياً عبر شبكة Tor أثناء مرحلة التشفير، موجهًا جميع اتصالات القيادة والتحكم عبر بنية تحتية مجهولة يصعب تتبعها للغاية. يتم توجيه الضحايا للاتصال بالمهاجمين إما عبر qTox، وهو تطبيق مراسلة لامركزي من نظير إلى نظير، أو عبر موقع مخصص على شبكة .onion يمكن الوصول إليه عبر متصفح Tor.
آليات التخفي والاستهداف الجغرافي لـ JanaWare
من الجوانب التقنية المثيرة للاهتمام لـ “جانا وير” هو نهجها المتدرج لتجنب الاكتشاف من خلال الاستهداف الجغرافي والتعديل الذاتي. قبل تنفيذ أي نشاط خبيث، يتحقق البرنامج الخبيث من إعدادات المنطقة واللغة للنظام، بالإضافة إلى تحديد الموقع الجغرافي لعنوان IP الخارجي للجهاز المضيف.
فقط في حال تطابقت البيئة مع إعدادات اللغة التركية وعاد رمز البلد الخاص بعنوان IP ببداية “TR”، يستمر البرنامج الخبيث في التنفيذ. هذا يعني أن برنامج الفدية فعالياً غير مرئي لمعظم الباحثين الأمنيين الدوليين وبيئات الاختبار الآلية، حيث يتوقف ببساطة عن العمل عند تشغيله خارج تركيا.
بالإضافة إلى الاستهداف الجغرافي، يستخدم البرنامج الخبيث أداة تشويش جافا معروفة، وهي Stringer و Allatori، لجعل شفرته أكثر صعوبة في الهندسة العكسية. كما تحتوي على فئة تسمى FilePumper تقوم بإضافة محتوى عشوائي إلى أرشيف JAR الخاص بها أثناء التثبيت، مما يؤدي إلى تضخيم حجم الملف وإنتاج تجزئة MD5 فريدة على كل جهاز مصاب.
يصبح هذا السلوك المتغير عديم الفائدة تقريباً لعمليات الكشف المبسطة المعتمدة على التجزئة ضد هذا التهديد. بمجرد تجاوز فحوصات الاستهداف الجغرافي، ينفذ البرنامج الخبيث سلسلة من أوامر PowerShell والسجل المصممة لإضعاف دفاعات النظام قبل بدء التشفير.
التوصيات الوقائية
لتقليل خطر الإصابة بـ “جانا وير”، يجب على المستخدمين والمؤسسات تعطيل أو تقييد تشغيل بيئة تشغيل جافا (JRE) على نقاط النهاية التي لا تحتاج إليها، وحظر تنفيذ ملفات JAR من مصادر غير موثوقة. يجب تكوين بوابات أمان البريد الإلكتروني لوضع علامة على الرسائل التي تحتوي على روابط Google Drive المقدمة مع أنواع الملفات القابلة للتنفيذ، أو وضعها في الحجر الصحي.
يجب إعداد مراقبة الشبكة للكشف عن الاتصالات الصادرة إلى البنية التحتية المعروفة للقيادة والتحكم مثل elementsplugin.duckdns.org (IP: 151.243.109.115) على المنافذ 49152 و 49153.
تظل النسخ الاحتياطية الدورية غير المتصلة بالإنترنت هي الضمان الأكثر موثوقية. وفي حالة حدوث إصابة، يُنصح الضحايا بالحفاظ على الأدلة الجنائية والإبلاغ عن الحوادث إلى مركز الاستجابة للحوادث الأمنية (CERT) الوطني المعني أو جهات إنفاذ القانون قبل التفكير في دفع أي فدية.