في عام 2021، كشف باحثون من شركة كاسبرسكي عن تطورات جديدة في البرمجية الخبيثة Janicab، التي تستهدف مؤسسات مختارة في مجالات متنوعة. وتعود هذه البرمجية إلى عصابة DeathStalker ، وهي مجموعة من المهاجمين المحترفين الذين ينفذون هجمات مستمرة ومتقدمة. وقد انتشرت البرمجية في مناطق في أوروبا والشرق الأوسط، واستغلت خدمات ويب شهيرة، مثل يوتيوب ، لإخفاء نشاطها.
وتهدف عصابة DeathStalker إلى سرقة المعلومات السرية والحساسة من ضحاياها، مثل المعلومات القانونية والمالية والتجارية. وقد تسبب ذلك في تعطيل أعمالهم أو تضرر سمعتهم أو خسارة حقوقهم. وتختلف هذه الهجمات عن الهجمات الشائعة التي تطلب فدية أو ابتزاز.
وتتميز برمجية Janicab بأنها مبنية على لغة Python ، وهي لغة برمجية سهلة التعديل والإضافة. وقام فريق كاسبرسكي بتحليل آخر نسخ من هذه البرمجية، ووجد أنها تحتوي على عدة ملفات خبيثة تستخدم للاختراق. ولا تزال طريقة التوزيع تعتمد على إرسال رسائل تصيد إلى الضحايا. وعند فتح الملف المرفق، يتم تحميل سلسلة من البرامج الخبيثة على الجهاز.
وتستخدم عصابة DeathStalker خدمات DDR أو خدمات ويب أخرى لإخفاء سلسلة مشفرة يُستخرج منها لاحقاً غرس من البرمجية الخبيثة. وحسب تقرير جديد، استخدمت العصابة روابط يوتيوب قديمة في هجمات انطلقت في عام 2021. وكان هذا يساعدها على التخفي وإعادة استخدام بنيتها للقيادة والسيطرة، لأنه من الصعب إيجاد روابط ويب غير معروفة.
وكانت المؤسسات المستهدفة التي تندرج ضمن نطاق اهتمام عصابة DeathStalker هي في المقام الأول مؤسسات قانونية ومالية واستثمارية. لكن كاسبرسكي رصدت أيضاً هجمات ضد وكالات سفر. وكانت أوروبا والشرق الأوسط من أبرز المناطق التي شهدت نشاطات العصابة، بانتشار متفاوت بين دولهما.
وقال الدكتور أمين حاسبيني رئيس مركز البحوث لمنطقة الشرق الأوسط وتركيا وإفريقيا في فريق كاسبرسكي، إن عصابة DeathStalker تسعى إلى الحصول على المعلومات التي تمكنها من التأثير على نزاعات قانونية أو مالية كبيرة، أو من الحصول على ميزة تنافسية في سوق معين وأضاف: «على المؤسسات التي تعمل في هذه القطاعات أن تكون على استعداد لهذه الهجمات، وأن تحدث نماذج التهديدات لديها، ضمان لسلامة بياناتها».
ولحماية أنظمتها من هذه البرمجية الخبيثة، يجب على المؤسسات استخدام قائمة بيضاء للتطبيقات، وتحديث أنظمة التشغيل. كما يجب على فرق الأمن أن تراقب إجراءات المستعرض إنترنت إكسبلورر Internet Explorer التي تعمل بلا واجهة مستخدم، لأن Janicab يستخدم هذا المستعرض في نظام خفي للإتصال.
