JanelaRAT يستهدف البنوك عبر تقنية الكشف عن النوافذ النشطة — تحذير للمؤسسات المالية السعودية

كشفت تقارير كاسبرسكي وThe Hacker News في أبريل 2026 عن موجة هجمات متجددة لبرنامج JanelaRAT الخبيث الذي يستهدف البنوك والمؤسسات المالية بأسلوب تقني متطور: قراءة عناوين النوافذ النشطة على أجهزة الضحايا، والمطابقة مع قائمة مضمّنة بأسماء مؤسسات مالية محددة، ثم فتح قناة تحكم خفية لتنفيذ أوامر السرقة. البرنامج سجّل 14,739 هجوماً في البرازيل وحدها خلال عام 2025، ويحذّر خبراء الأمن من احتمال توسّعه نحو أسواق الشرق الأوسط بما فيها المملكة العربية السعودية.

ما هو JanelaRAT وكيف تعمل آليته الخفية؟

JanelaRAT نسخة معدّلة ومتطورة من BX RAT، أحد أدوات الوصول عن بُعد المتخصصة في استهداف القطاع المالي. ما يُميّزه عن عشرات من نظرائه هو آلية الاستهداف الذكية: يراقب البرنامج عنوان النافذة النشطة بصمت تام، ويقارنها بقائمة داخلية مُدمجة تحتوي أسماء بنوك، منصات تداول، وتطبيقات دفع إلكتروني. حين يُكتشف تطابق، ينتظر 12 ثانية لتجنّب أنظمة الكشف التلقائي، ثم يُنشئ قناة C2 (Command & Control) ويبدأ في تنفيذ الأوامر الواردة. تشمل قدرات JanelaRAT: سرقة بيانات مالية وبيانات العملات المشفرة، تسجيل ضربات لوحة المفاتيح (Keylogging)، أخذ لقطات الشاشة، تتبع حركة الفأرة، وجمع بيانات تفصيلية عن النظام المستهدف. كشفت Kaspersky أن البرنامج اعتمد في حملاته تقنية DLL sideloading لإخفاء نفسه داخل عمليات مشروعة كـ explorer.exe وOffice، مما يُعيق الكشف التوقيعي التقليدي.

لماذا يُشكّل تهديداً مباشراً للقطاع المالي في السعودية؟

رغم أن الحملات الموثّقة حتى الآن تمركزت في أمريكا اللاتينية (البرازيل والمكسيك)، فإن آلية JanelaRAT تجعله قابلاً للتكيّف الفوري نحو أي سوق: المهاجمون لا يحتاجون سوى إضافة أسماء البنوك السعودية إلى القائمة الداخلية للبرنامج، وهو أمر يُنجز في ساعات. المؤسسات المالية الخاضعة لإشراف SAMA تعتمد بشكل يومي على تطبيقات سطح المكتب لإدارة حسابات التداول، بوابات التحويلات الدولية، وأنظمة SWIFT — وهي بالضبط الأهداف المُصمَّم JanelaRAT لاستهدافها. ويمنح البرنامج المهاجمَ القدرة على تنفيذ معاملات احتيالية مباشرة من جهاز موظف له صلاحيات معتمدة، دون الحاجة إلى اختراق منظومة المصادقة المركزية. هذا السيناريو يتخطى كثيراً من طبقات الحماية التقليدية المبنية على مؤشرات الشبكة.

التأثير على متطلبات SAMA CSCC وNCA ECC

تُلزم ضوابط SAMA للأمن السيبراني (CSCC) المؤسسات المالية السعودية بالتزامات صريحة في مجال الكشف عن البرمجيات الخبيثة (المجال 4: حماية الأصول) والاستجابة للحوادث (المجال 6: الرصد والكشف). JanelaRAT يستهدف تحديداً ثغرات في هذين المجالين: يعمل بصمت داخل العمليات المشروعة، ولا يُنشئ اتصالاً بالخادم إلا بعد تأكيد التطابق مع أهداف مالية، مما يُقلّل من آثاره الشبكية التي ترصدها أنظمة IDS/IPS. كذلك تُلزم ضوابط NCA ECC المؤسسات الحيوية بضمان مراقبة السلوك غير الطبيعي للعمليات على محطات المستخدمين. من منظور PDPL، فإن أي اختراق يُسفر عن سرقة بيانات موظفين أو عملاء يُشكّل انتهاكاً صريحاً يستوجب الإبلاغ لدى الجهة المختصة خلال 72 ساعة.

التوصيات والخطوات العملية للحماية الفورية

1. تفعيل الرصد السلوكي عبر EDR/XDR: أدوات كـ CrowdStrike Falcon أو Microsoft Defender for Endpoint قادرة على رصد العمليات التي تستدعي GetForegroundWindow() أو GetWindowText() بشكل متكرر كمؤشر اشتباه (IoC)، وهو الأسلوب التقني الجوهري الذي يعتمد عليه JanelaRAT.
2. مراجعة قوائم العمليات المسموحة (Process Allowlisting): تحديد العمليات المخوّلة بالوصول إلى عناوين النوافذ النشطة وتقييد أي عملية خارج القائمة المعتمدة.
3. تحديث مؤشرات IOC في SIEM: إضافة الهاش المرتبط بـ JanelaRAT وعناوين IP لخوادم C2 المُكتشفة إلى قواعد بيانات SIEM ومنصات Threat Intelligence كـ MISP.
4. مراجعة إعدادات DLL Sideloading Prevention: التأكد من تفعيل ميزات حماية تحميل المكتبات في Windows (مثل CFG وCET) على أجهزة المستخدمين الحرجين كموظفي الخزينة والتداول.
5. إجراء فحص متعمق لأجهزة المستخدمين ذوي الصلاحيات العالية: استخدام أدوات الكشف عن الجذور الخفية وفحص العمليات الدورية على أجهزة موظفي المدفوعات وإدارة المخاطر والمراسلون المصرفيون.
6. دمج سيناريوهات RAT في برنامج التدريب الأحمر: تضمين سيناريوهات محاكاة JanelaRAT في تمارين Red Team وتدريبات SOC لقياس قدرة الكشف الفعلية قبل أن يُقدم عليها مهاجم حقيقي.

الخلاصة

JanelaRAT ليس مجرد تهديد يستهدف أمريكا اللاتينية — إنه يُمثّل نهجاً متطوراً في تكييف البرمجيات الخبيثة نحو أسواق جديدة بأقل جهد تقني. المؤسسات المالية السعودية، بما تمتلكه من بنية تحتية رقمية متكاملة وحجم كبير من المعاملات اليومية، تُشكّل هدفاً جذاباً لمجموعات تطوّر هذا النوع من الأدوات. منظومة الحماية المبنية فقط على التوقيعات لن تكون كافية؛ الكشف السلوكي والمراقبة الاستباقية هما الخط الفاصل بين اكتشاف الاختراق مبكراً أو اكتشافه بعد تحويلات احتيالية لا يمكن استرجاعها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.