رصد فريق Acronis للأبحاث والاستخبارات الأمنية TRU مجموعة تهديد تستخدم نسخة مخصصة من حصان طروادة للوصول عن بُعد المعروف بـAdwind وهو RAT مكتوب بلغة Java، تتميز بخصائص متعددة الأشكال، وتُوظَّف لتوصيل وحدة برمجية للفدية أطلق عليها الباحثون اسم JanaWare. والأكثر إثارة في هذه القضية أن الحملة ليست وليدة اليوم، بل تشير التحليلات إلى أنها نشطة منذ عام 2020 على الأقل، وقد نجحت في الإفلات من أعين باحثي الأمن العالميين طوال هذه السنوات بفضل تركيزها الجغرافي الضيق على تركيا وتواضع حجم عملياتها.
كيف يبدأ الهجوم ويصل إلى جهاز الضحية؟
تنطلق حملة JanaWare من رسائل تصيد احتيالي تحمل مرفقات خبيثة بصيغة JAR وهي أرشيفات Java قابلة للتنفيذ. وما إن يفتح الضحية المرفق حتى تبدأ سلسلة ردود فعل متتالية تنتهي بتشفير ملفاته وعرض مذكرة فدية مكتوبة بالتركية.
وكشفت التحليلات أن كثيرا من الحوادث الموثّقة بدأت برسالة بريد إلكتروني تُفتح عبر Microsoft Outlook، تحمل رابطا إلى Google Drive يُطلق بدوره سلسلة من العمليات تفضي إلى تنزيل الملف الخبيث.
غير أن العدوى لا تسير بشكل آلي مباشر نحو التشفير؛ فحين يتفاعل الضحية مع الإغراء، يُثبَّت Adwind RAT بصمت على الجهاز، منحا المهاجم سيطرة كاملة عليه. وفي هذه المرحلة لا تُشفَّر الملفات بعد، بل يُوظَّف RAT في مسح النظام وتحديد ملف الضحية، ثم يُنزَّل حمل JanaWare فقط حين يبدو الهدف مربحا أو مثيرا للاهتمام.
التقنية المزدوجة: تعمية الكود وتحديد الهوية الجغرافية
تعتمد النسخة المخصصة من Adwind RAT طبقات متعددة من التعمية والتشفير لإعاقة التحليل الثابت، إذ رصد الباحثون استخدام أدوات التعمية Stringer وAllatori إلى جانب محملات فئات مخصصة. كما يحتوي على كلاس يُدعى FilePumper يُدرج بيانات عشوائية في ملفات JAR، مما يضمن أن كل إصابة تنتج ملفا بتوقيع هاش فريد، وهو العامل الرئيسي في التملص من الكشف القائم على التوقيعات.
ومن السمات البارزة لـJanaWare حصريتها الإقليمية؛ إذ تفحص البرمجية إعدادات اللغة والمنطقة وعنوان IP الجغرافي للجهاز، ولا تُكمل تنفيذها إلا إذا تطابق النظام مع تركيا برمزها TR. وما إن تجتاز فحوصات الموقع الجغرافي، تُعطّل JanaWare برنامج Microsoft Defender وتحذف النسخ الاحتياطية الظلية وتوقف Windows Update قبل الشروع في تشفير ملفات المستخدم بخوارزمية AES.
نموذج عمل من الكميات لا القيمة
بعد اكتمال التشفير، تُسقط البرمجية مذكرة فدية في مجلدات متعددة، وتُحدَّد مبالغ الفدية في النماذج المحللة بين 200 و400 دولار، وهو نهج يعكس استراتيجية تحقيق الدخل عبر أحجام كبيرة بقيم منخفضة.
يُشجَّع الضحايا على التواصل مع المهاجمين عبر قناة آمنة وخاصة مثل qTox وهو تطبيق مراسلة مجاني مفتوح المصدر يعمل على شبكة Tor اللامركزية النظيرة إلى نظير. وفي بعض الحملات، يُطلب من الضحايا تنزيل متصفح Tor وزيارة موقع onion. مخصص للتفاوض.
وتُجسّد هذه الاستراتيجية نقيضا صريحا لنموذج برامج الفدية العملاقة التي تستهدف شركات كبرى بطلبات بالملايين وتستقطب اهتماما إعلاميا وأمنيا واسعا. فمشغلو JanaWare اختاروا العكس تماما، مستهدفين الحلقة الأضعف في سلسلة الأمن الرقمي وهم المستخدمون الأفراد والشركات الصغيرة والمتوسطة التي تفتقر في الغالب إلى أدوات حماية متخصصة، ومُبقين على طلبات فدية زهيدة بما يكفي لدفع الضحايا إلى الدفع بدلا من الاستعانة بمتخصصين لاسترداد بياناتهم.
وعلى الرغم من أن أيا من هذه الأساليب لا يُعدّ جديدا أو متطورا بشكل استثنائي، إلا أنها تواصل نجاحها في اختراق الأهداف الصغيرة غير المحمية. كما يُشير التقرير إلى أن اسم JanaWare مستمد من البادئة JANAWARE التي تستخدمها البرمجية في مصافحتها مع خادم التحكم والسيطرة C2، وهو ما دفع باحثي Acronis إلى اعتماد هذا الاسم لتتبعها.
