Malware JanelaRAT

O amenințare malware necunoscută anterior, urmărită ca JanelaRAT, un malware financiar, a fost înregistrată de specialiștii în securitate cibernetică pentru a viza indivizi din regiunea America Latină (LATAM). Acest software amenințător are capacitatea de a extrage date sensibile din sisteme bazate pe Windows care au fost compromise.

JanelaRAT este în primul rând direcționat spre achiziționarea de informații financiare și legate de criptomonede pentru bănci și instituții financiare care operează în LATAM. Malware-ul folosește metode de încărcare laterală a DLL-urilor provenite de la entități legitime, cum ar fi VMWare și Microsoft. Această tehnică îi permite lui JanelaRAT să evite detectarea prin măsurile de securitate ale punctelor finale.

Lanțul de infecție al malware-ului JanelaRAT

Punctul inițial exact al lanțului de infecție nu a fost confirmat până acum. Cu toate acestea, cercetătorii în domeniul securității cibernetice care au identificat campania în iunie 2023 au raportat că este utilizată o metodă necunoscută pentru a introduce un fișier de arhivă ZIP care conține un Script Visual Basic.

VBScript a fost meticulos creat pentru a prelua o a doua arhivă ZIP de pe serverul atacatorilor. În plus, aruncă un fișier batch care servește scopului de a stabili mecanismul de persistență al malware-ului pe sistemul compromis.

În arhiva ZIP, două componente cheie sunt grupate: încărcarea utilă JanelaRAT și un executabil legitim, și anume „identity_helper.exe” sau „vmnat.exe”. Aceste executabile sunt folosite pentru a lansa sarcina utilă JanelaRAT prin tehnica de încărcare laterală a DLL.

JanelaRAT în sine încorporează criptarea șirurilor și are capacitatea de a trece într-o stare inactivă atunci când este necesar. Această funcționalitate ajută la eludarea analizei și detectării. JanelaRAT reprezintă o versiune modificată semnificativ a BX RAT, o amenințare dăunătoare care a fost identificată inițial în 2014.

JanelaRAT posedă o listă specializată de capacități invazive

Printre noile funcții de amenințare încorporate în troian se numără capacitatea acestuia de a captura titlurile ferestrelor și de a le transmite actorilor amenințărilor. Cu toate acestea, JanelaRAT stabilește mai întâi comunicarea între gazda nou compromisă și serverul de comandă și control (C2) al operațiunii de atac. JanelaRAT se mândrește, de asemenea, cu funcționalități suplimentare, inclusiv capacitatea de a monitoriza intrările mouse-ului, de a înregistra apăsările de taste, de a captura capturi de ecran și de a colecta metadate ale sistemului.

Cu toate acestea, potrivit cercetătorilor, gama de caracteristici observate în cadrul JanelaRAT este doar un subset din ceea ce oferă BX RAT. Aparent, dezvoltatorii JanelaRAT au ales să nu includă nicio funcționalitate pentru executarea comenzilor shell, manipularea fișierelor sau gestionarea proceselor.

O examinare amănunțită a codului sursă a dezvăluit prezența mai multor șiruri de caractere în portugheză, indicând posibilitatea ca creatorii amenințării să fie familiarizați cu această limbă specială. În plus, legăturile cu regiunea Americii Latine (LATAM) se regăsesc în referințele la entități active în sectorul bancar și al finanțelor descentralizate. Există, de asemenea, faptul că VBScript asociat cu JanelaRAT ar putea fi urmărit în Chile, Columbia și Mexic.