تتعرض الأوساط المالية والمؤسسات العاملة في مجال العملات المشفرة بمنطقة أمريكا اللاتينية لحملة اختراق إلكتروني متطورة تستهدف سرقة البيانات الحساسة، وذلك باستخدام برمجية خبيثة جديدة تُعرف باسم Janela RAT. تركز هذه الهجمات على خداع المستخدمين عبر ملفات تثبيت وهمية وإضافات متصفح ضارة.
تُعد حملة Janela RAT، التي تم رصدها لأول مرة في منتصف عام 2023، تهديداً متنامياً يوجه ضرباته بشكل خاص نحو دول مثل تشيلي وكولومبيا والمكسيك. يستخدم المهاجمون تقنيات متقدمة لخداع ضحاياهم، مستهدفين قطاعات الخدمات المصرفية والتكنولوجيا المالية والعملات المشفرة.
من جهتها، أشارت شركة KPMG إلى الهيكل الهجومي متعدد المراحل لهذا التهديد، واصفة إياه بأنه يشكل خطراً كبيراً على البنية التحتية المالية في أمريكا اللاتينية. وأكد الباحثون أن المهاجمين يسعون وراء هذه العمليات إلى تحقيق مكاسب مالية عبر سرقة بيانات الاعتماد والوصول غير المصرح به إلى الحسابات.
حملة Janela RAT: تكتيكات الاختراق المتقدمة
تتميز حملة Janela RAT بقدرتها على التخفي واستغلال الثقة لدى المستخدمين. يقوم المهاجمون بنشر البرمجيات الخبيثة عبر مستودعات GitLab العامة، متسترين بملفات تثبيت MSI تبدو شرعية، مما يجعل اكتشافها أمراً صعباً للغاية قبل وقوع الضرر.
في غضون ذلك، تعمل البرمجية الخبيثة على التلاعب بمتصفحات المستخدمين المثبتة بشكل سري، مع الحفاظ على اتصال مشفر مع الخوادم التي يتحكم فيها المهاجمون. هذه القدرة على التخفي والتواصل تزيد من صعوبة احتواء الهجوم.
وتتجاوز الآثار المباشرة لهذه الحملة مجرد سرقة البيانات. فمن خلال الوصول إلى المتصفحات وحصاد ملفات تعريف الارتباط، وبيانات الاعتماد المحفوظة، وسجل التصفح، يكتسب المهاجمون رؤية كاملة للأنشطة المالية للضحية.
هذا المستوى من الوصول يسمح لهم بتجاوز خطوات المصادقة، أو الاستيلاء على الحسابات، أو مراقبة المعاملات المالية الحية دون أن يدرك الضحية ما يحدث. وبالنسبة للمؤسسات التي تعمل في مجالي الخدمات المصرفية والتكنولوجيا المالية، يمثل هذا النوع من الاختراق مخاطر تشغيلية وتضر بسمعة الشركة.
مراحل الإصابة والتلاعب بالمتصفح
تبدأ عملية الإصابة بمجرد قيام المستخدم بتشغيل ما يبدو أنه مثبت برامج عادي بتنسيق MSI. يتم استضافة هذه الملفات على مستودعات GitLab العامة، ويتم التلاعب بها بعناية لتبدو موثوقة وشرعية. وبمجرد تشغيل المثبت، يقوم بتشغيل سلسلة من البرامج النصية المكتوبة بلغات Go وPowerShell و Batch)، ويلعب كل منها دورًا محددًا في إعداد الهجوم الكامل.
بعد ذلك، يقوم “فك الضغط” المستند إلى لغة Go باستخراج ملف ZIP محمي بكلمة مرور، ويفك ترميز تفاصيل نطاقات مركز التحكم (C2) المشفرة بـ Base64، ويكتب كل ذلك في ملف config.json للاستخدام التشغيلي خلال الحملة. في الوقت نفسه، تقوم البرامج النصية بمسح الجهاز المصاب بحثًا عن أي متصفحات تعتمد على Chromium وتعديل إعدادات بدء التشغيل الخاصة بها بهدوء لتحميل إضافة ضارة سراً دون علم المستخدم.
تقوم هذه الإضافة بتسجيل نفسها كمضيف مراسلة أصلي وتستخدم دالة مدمجة تسمى CollectRefresh لجمع مجموعة واسعة من البيانات الحساسة – بما في ذلك تفاصيل النظام، وملفات تعريف ارتباط المتصفح، وسجل التصفح، والإضافات المثبتة، ومعلومات علامات التبويب المفتوحة. كما أنها تراقب أنماط عناوين URL محددة، مما يؤدي إلى تنشيط إجراءات RAT إضافية كلما تم العثور على تطابق، مثل صفحة تسجيل الدخول المصرفية أو العملات المشفرة.
لتجنب الكشف، تنشئ Janela RAT اتصالات WebSocket مشفرة بخوادم C2 الخاصة بها باستخدام نطاقات مشوشة ومشفرة بـ Base64. تقوم البرمجية الخبيثة أيضًا بتدوير عناوين C2 الخاصة بها ديناميكيًا وتبقى هادئة خلال فترات الخمول لتجنب إثارة تنبيهات الأمان المستندة إلى السلوك. معًا، تسمح هذه التقنيات للبرمجية الخبيثة بالعمل لفترات طويلة دون أن يتم ملاحظتها.
ينصح فرق الأمن باتخاذ الخطوات التالية لتقليل التعرض لهذا التهديد:
توصيات لمواجهة التهديد
- مراقبة بيئاتكم بحثًا عن مؤشرات الاختراق (IoCs) المعروفة، بما في ذلك النطاقات وعناوين IP وتجزئات الملفات المرتبطة بهذه الحملة.
- التأكد من أن جميع أنظمة Windows محدثة بالكامل ومحمية بمصادقة متعددة العوامل (MFA).
- إجراء تمرين تقييم شامل للتهديدات لكشف النقاط العمياء والثغرات في وضعكم الأمني.