JanelaRAT Malware

Një kërcënim i panjohur më parë i malware i gjurmuar si JanelaRAT, një malware financiar, është regjistruar nga specialistë të sigurisë kibernetike për të synuar individë brenda rajonit të Amerikës Latine (LATAM). Ky softuer kërcënues ka aftësinë të nxjerrë të dhëna të ndjeshme nga sistemet e bazuara në Windows që janë komprometuar.

JanelaRAT ka për qëllim kryesisht marrjen e informacionit financiar dhe të lidhur me kriptovalutat për bankat dhe institucionet financiare që operojnë brenda LATAM. Malware përdor metoda të ngarkimit anësor DLL me burim nga entitete legjitime si VMWare dhe Microsoft. Kjo teknikë lejon JanelaRAT të shmangë zbulimin nga masat e sigurisë së pikës fundore.

Zinxhiri i Infeksionit të Malware JanelaRAT

Pika e saktë fillestare e zinxhirit të infeksionit nuk është konfirmuar deri më tani. Sidoqoftë, studiuesit e sigurisë kibernetike që identifikuan fushatën në qershor 2023, kanë raportuar se një metodë e panjohur është përdorur për të futur një skedar arkivi ZIP që përmban një Skript Visual Basic.

VBScript është krijuar me përpikëri për të tërhequr një arkiv të dytë ZIP nga serveri i sulmuesve. Për më tepër, lëshon një skedar grumbull që shërben për qëllimin e vendosjes së mekanizmit të qëndrueshmërisë së malware në sistemin e komprometuar.

Brenda arkivit ZIP, dy komponentë kyç janë bashkuar së bashku: ngarkesa e JanelaRAT dhe një ekzekutues legjitim, domethënë 'identity_helper.exe' ose 'vmnat.exe.' Këta ekzekutues përdoren për të nisur ngarkesën JanelaRAT përmes teknikës së ngarkimit anësor DLL.

JanelaRAT vetë përfshin enkriptimin e vargjeve dhe posedon aftësinë për të kaluar në një gjendje boshe kur është e nevojshme. Ky funksion ndihmon në shmangien e analizës dhe zbulimit. JanelaRAT përfaqëson një version të modifikuar ndjeshëm të BX RAT, një kërcënim i dëmshëm që u identifikua fillimisht në vitin 2014.

JanelaRAT posedon një listë të specializuar të aftësive invazive

Ndër funksionet e reja kërcënuese të inkorporuara në Trojan është aftësia e tij për të kapur titujt e dritareve dhe për t'i transmetuar ato te aktorët e kërcënimit. Sidoqoftë, JanelaRAT fillimisht vendos komunikimin midis hostit të sapo komprometuar dhe serverit Command-and-Control (C2) të operacionit të sulmit. JanelaRAT gjithashtu krenohet me funksionalitete shtesë, duke përfshirë aftësinë për të monitoruar hyrjet e miut, regjistrimin e goditjeve të tasteve, kapjen e pamjeve të ekranit dhe mbledhjen e meta të dhënave të sistemit.

Sidoqoftë, sipas studiuesve, grupi i veçorive të vëzhguara brenda JanelaRAT është vetëm një nëngrup i asaj që ofron BX RAT. Me sa duket, zhvilluesit e JanelaRAT zgjodhën të mos përfshijnë asnjë funksionalitet për ekzekutimin e komandave të guaskës, manipulimin e skedarëve ose menaxhimin e proceseve.

Një ekzaminim i plotë i kodit burimor ka zbuluar praninë e disa vargjeve në portugalisht, duke treguar mundësinë që krijuesit e kërcënimit të jenë njohur me këtë gjuhë të veçantë. Për më tepër, lidhjet me rajonin e Amerikës Latine (LATAM) gjenden në referencat e subjekteve aktive në sektorin bankar dhe atë të financave të decentralizuar. Ekziston gjithashtu fakti që VBScript i lidhur me JanelaRAT mund të gjurmohet në Kili, Kolumbi dhe Meksikë.