تواصل البنوك والمؤسسات المالية في دول أمريكا اللاتينية مثل البرازيل والمكسيك مواجهة تهديدات متزايدة من عائلة البرمجيات الخبيثة JanelaRAT، وهي نسخة معدلة من BX RAT. هذه البرمجية قادرة على سرقة بيانات مالية ومعلومات مرتبطة بالعملات المشفرة، بالإضافة إلى تسجيل ضغطات لوحة المفاتيح، تتبع حركة الفأرة، التقاط صور للشاشة، وجمع بيانات النظام.
أحد أبرز خصائصها هو استخدام آلية مخصصة للتعرف على شريط العنوان في المتصفح، مما يسمح لها بتحديد المواقع المستهدفة وتنفيذ إجراءات خبيثة عند زيارة المستخدم لمواقع البنوك.
حجم الهجمات وأساليب التوزيع
وفقًا لبيانات شركة Kaspersky، تم تسجيل ما يقرب من 14,739 هجومًا في البرازيل خلال عام 2025، و11,695 هجومًا في المكسيك. لم يُعرف بعد عدد الحالات التي انتهت باختراق فعلي ناجح.
تم رصد البرمجية لأول مرة في يونيو 2023 من قبل شركة Zscaler، حيث كانت تُوزع عبر أرشيفات ZIP تحتوي على سكربت VBScript يقوم بتنزيل ملف ZIP ثانٍ يتضمن برنامجًا شرعيًا وملف DLL خبيثًا. المرحلة النهائية تعتمد على تقنية DLL Side-Loading لتشغيل البرمجية.
لاحقًا، أوضحت شركة KPMG أن البرمجية انتشرت أيضًا عبر ملفات MSI مزيفة تتظاهر بأنها برامج شرعية على منصات موثوقة مثل GitLab، مستهدفة دولًا مثل تشيلي وكولومبيا والمكسيك.
سلسلة العدوى وتقنيات التخفي
عملية العدوى متعددة المراحل تبدأ بتنفيذ ملفات MSI التي تحتوي على سكربتات مكتوبة بلغات Go وPowerShell وBatch، تقوم بفك ضغط أرشيف ZIP يتضمن ملف RAT التنفيذي، إضافة خبيثة لمتصفح مبني على Chromium، ومكونات داعمة.
البرمجية تعدّل إعدادات تشغيل المتصفحات المبنية على Chromium لتثبيت الإضافة الخبيثة، التي تجمع بيانات النظام، الكوكيز، سجل التصفح، والإضافات المثبتة، وتنفذ إجراءات محددة بناءً على أنماط عناوين المواقع.
الهجمات الأخيرة اعتمدت على رسائل تصيّد إلكتروني متنكرة في شكل فواتير غير مسددة، حيث يتم خداع الضحية لتنزيل ملف PDF يقود إلى أرشيف ZIP يبدأ سلسلة العدوى.
قدرات التحكم عن بُعد
بمجرد التثبيت، تتصل البرمجية بخادم قيادة وسيطرة عبر TCP socket لتسجيل الإصابة ومتابعة نشاط الضحية، خصوصًا التفاعلات البنكية الحساسة.
من أبرز الأوامر التي تدعمها البرمجية:
- إرسال لقطات شاشة للخادم.
- اقتصاص أجزاء محددة من الشاشة وإرسالها.
- عرض صور كاملة الشاشة للتضليل مثل “تحديثات ويندوز جارية”.
- تسجيل ضغطات لوحة المفاتيح.
- محاكاة ضغطات مفاتيح للتنقل.
- تحريك المؤشر وتنفيذ نقرات.
- تنفيذ أوامر عبر cmd.exe وPowerShell.
- إخفاء نافذة مدير المهام.
- رصد أنظمة مكافحة الاحتيال.
- إرسال بيانات النظام وكشف أدوات التحليل الآلي.
كما أن البرمجية قادرة على مراقبة نشاط المستخدم، حيث تُبلغ الخادم إذا كان الجهاز غير نشط لأكثر من 10 دقائق، وتعيد الإبلاغ عند عودة النشاط، مما يسمح للمهاجمين بتوقيت عملياتهم بدقة.
