JanelaRAT كايتنشر فـ أمريكا اللاتينية: كتر من 26 ألف هجمة كتستهدف المؤسسات المالية فالبرازيل والمكسيك

القطاع المالي فـ أمريكا اللاتينية كيواجه موجة قوية ديال الهجمات السيبرانية مع تطور عائلة برمجيات "JanelaRAT" الخبيثة. آخر البيانات كتبين ارتفاع كبير فالنشاط، مع تسجيل عشرات الآلاف ديال الهجمات اللي ستاتدفات المستخدمين فالبرازيل والمكسيك خلال عام 2025.

المختصر (TL;DR)

JanelaRAT، اللي هو نسخة متطورة من BX RAT، لونسى كتر من 14,000 هجمة فالبرازيل و11,000 فالمكسيك. هاد الفيروس كيخدم بتقنيات متطورة بحال DLL side-loading، وMSI installers، وعندو ميكانيزم فريد كيكشف العناوين ديال النوافذ (window titles) باش يقرصن البيانات البنكية والعملات الرقمية.

---

تهديد كيكبر للمالية فـ أمريكا اللاتينية

JanelaRAT هو طروادة بنكي (banking trojan) مصمم خصيصاً باش يستهدف المؤسسات المالية ومستخدمي العملات الرقمية فـ أمريكا اللاتينية. على حساب التقارير الأخيرة ديال Kaspersky، هاد الفيروس سجل رقم خيالي ديال 14,739 هجمة فالبرازيل و 11,695 فالمكسيك غير فـ 2025 بوحدها.

وخا الفيروس تكتشف لأول مرة من طرف Zscaler فـ يونيو 2023، المطورين ديالو بقاو كيتحسنو فـ سلسلة الإصابة (infection chain). داكشي اللي بدا كـ "downloader" مبني على VBScript، تطور لعملية معقدة فيها بزاف ديال المراحل وكتستعمل برامج قانونية وتقنيات DLL side-loading خبيثة.

تطور سلسلة الإصابة

المجرمين لي مورا JanelaRAT بدلو الطرق ديال النشر ديالهم باش يزيدو من فرص النجاح ويتجاوزو إجراءات الحماية.

• البداية بـ Phishing: الحملات اللخرة غالباً كبدا بـ إيميلات ديال الصيد (phishing) دايرة راسها بحال فاكتورات (invoices) ما مخلصاش. هاد الإيميلات فيهم روابط لملف PDF، غير كتكليكي عليه كيبدا التيليشارجمون ديال ملف ZIP خبيث.
• ملفات MSI خبيثة: من ماي 2024، الكروب بدا كيخدم بملفات MSI "مسمومة". هاد الملفات غالباً كيكونوا محطوطين فـ منصات موثوقة بحال GitLab وكيمثلوا دور برامج عادية وقانونية.
• التنسيق بـ Go و PowerShell: منظمات بحال KPMG لاحظو بلي هاد الـ installers كيخدمو بسكريبتات معقدة مكتوبة بـ Go، PowerShell، و Batch باش يفكوا الضغط على الفيروس اللخر (payload) ويتبتوه فالسيستم.
• الاستمرارية (Persistence): الفيروس كيضمن بلي غيبقى فالجهاز عن طريق إنشاء سورتي (Shortcut .LNK) فالدوسيي ديال Startup، كيشير للملف الخبيث.

قدرات خاصة: مطابقة عنوان النافذة (Window Title Match)

الحاجة اللي كتخلي JanelaRAT متميز على النسخة القديمة ديالو (BX RAT)، هي ميكانيزم كشف العناوين ديال النوافذ.

ملي كيولي نشيط فـ PC ديال الضحية، الفيروس كيبدا يراقب العناوين (titles) ديال كاع النوافذ اللي محلولة. كيقارن هاد العناوين مع قائمة عندو ديال المؤسسات المالية المستهدفة. إلا لقى شي تطابق (يعني المستخدم داخل لشي سيت ديال البانكا)، الفيروس كيتسنى 12 ثانية قبل ما يحل قناة اتصال (C2) مع الهاكرز باش يتلقى الأوامر.

تحكم وتجسس كامل

JanelaRAT هو RAT (برنامج تحكم عن بعد) متكامل فيه بزاف ديال القدرات باش يسرق البيانات ويتحكم فشنو كيشوف المستخدم:

• سرقة المعلومات الحساسة: يقدر يبين "overlays" (نوافذ وهمية) مغطية الشاشة كاملة، بحال "Configuring Windows updates" أو واجهات ديال البنك، باش يغلط المستخدم ويدخل معلوماتو السرية.
• تسجيل الشاشة والكتابة: الفيروس كيسجل كاع داكشي اللي كتكتبو (keystrokes)، كياخد تصاور للشاشة (screenshots)، ويقدر يقطع غير جيهة معينة من الشاشة باش يسرق بيانات بصرية.
• التحكم فالسيستم: الهاكرز يقدروا يحركو "المس" (cursor)، يحاكيو كليكات ديال "Clavier" (بحال Tab و Enter)، وينفذو أوامر عن طريق cmd.exe أو PowerShell.
• التخفي: JanelaRAT مصمم باش يغبر النافذة ديالو من Windows Task Manager، ويقدر يعيق بوجود أنظمة الحماية ضد الاحتيال (anti-fraud) أو البيئات التجريبية (sandboxes).
• مراقبة النشاط: الفيروس كيراقب واش المستخدم خدام ولا لا. إلا بقا الـ PC بلا نشاط كتر من 10 دقائق، كيعلم السيرفر (C2)، هادشي كيخلي الهاكرز يعرفو فوقاش يبداو عملياتهم ملي يكون المستخدم بعيد على الكلافي.

تأثير غير محدد

وخا عدد الهجمات المسجلة طالع بزاف، لحد الآن ما معروفش شحال من هاد 26,000 محاولة نجحات فـ سرقة لفلوس أو البيانات. ولكن، الطبيعة المتطورة ديال هاد الطروادة — اللي كتجمع بين DLL side-loading والواجهات الوهمية والتحكم عن بعد — كتمثل قفزة نوعية فالقدرات ديال المجرمين السيبرانيين فالمنطقة.

بما أن JanelaRAT مازال كيطور الكود ديالو وطرق النشر، فالمؤسسات المالية والكليان ديالهم فـ LATAM خاصهم يبقاو حذرين بزاف من الإيميلات المشبوهة والبرامج اللي ماشي رسمية.

---

المصدر: https://thehackernews.com/2026/04/janelarat-malware-targets-latin.html