Škodlivý softvér JanelaRAT

Špecialisti na kybernetickú bezpečnosť zaznamenali doposiaľ neznámu malvérovú hrozbu, ktorá bola sledovaná ako JanelaRAT, finančný malvér, ktorý sa zameriava na jednotlivcov v regióne Latinskej Ameriky (LATAM). Tento hrozivý softvér má schopnosť extrahovať citlivé údaje zo systémov so systémom Windows, ktoré boli napadnuté.

JanelaRAT je primárne zameraný na získavanie finančných informácií a informácií súvisiacich s kryptomenami pre banky a finančné inštitúcie pôsobiace v rámci LATAM. Malvér využíva metódy bočného načítania DLL pochádzajúce od legitímnych subjektov, ako sú VMWare a Microsoft. Táto technika umožňuje JanelaRAT vyhnúť sa detekcii opatreniami zabezpečenia koncového bodu.

Infekčný reťazec škodlivého softvéru JanelaRAT

Presný počiatočný bod infekčného reťazca zatiaľ nebol potvrdený. Výskumníci v oblasti kybernetickej bezpečnosti, ktorí identifikovali kampaň v júni 2023, však oznámili, že na zavedenie archívneho súboru ZIP obsahujúceho skript jazyka Visual Basic sa používa neznáma metóda.

VBScript bol precízne vytvorený na získanie druhého archívu ZIP zo servera útočníkov. Okrem toho zahodí dávkový súbor, ktorý slúži na vytvorenie mechanizmu perzistencie malvéru v napadnutom systéme.

V archíve ZIP sú spojené dva kľúčové komponenty: užitočná časť JanelaRAT a legitímny spustiteľný súbor, konkrétne „identity_helper.exe“ alebo „vmnat.exe“. Tieto spustiteľné súbory sa používajú na spustenie užitočného zaťaženia JanelaRAT pomocou techniky bočného načítania DLL.

Samotný JanelaRAT obsahuje šifrovanie reťazcov a v prípade potreby má schopnosť prejsť do nečinného stavu. Táto funkcia pomáha vyhnúť sa analýze a detekcii. JanelaRAT predstavuje výrazne upravenú verziu BX RAT, škodlivej hrozby, ktorá bola pôvodne identifikovaná už v roku 2014.

JanelaRAT vlastní špecializovaný zoznam invazívnych schopností

Medzi nové funkcie ohrozujúce trójsky kôň patrí jeho schopnosť zmocniť sa titulkov okien a preniesť ich na aktérov hrozby. JanelaRAT však najskôr nadviaže komunikáciu medzi novo kompromitovaným hostiteľom a serverom Command-and-Control (C2) útočnej operácie. JanelaRAT sa môže pochváliť aj ďalšími funkciami, vrátane schopnosti monitorovať vstupy myši, zaznamenávať stlačenia klávesov, zachytávať snímky obrazovky a zhromažďovať systémové metadáta.

Podľa výskumníkov je však celý rad funkcií pozorovaných v rámci JanelaRAT len podmnožinou toho, čo BX RAT ponúka. Vývojári JanelaRAT sa zjavne rozhodli nezahrnúť žiadne funkcie na vykonávanie príkazov shellu, manipuláciu so súbormi alebo správu procesov.

Dôkladné preskúmanie zdrojového kódu odhalilo prítomnosť niekoľkých reťazcov v portugalčine, čo naznačuje možnosť, že tvorcovia hrozby poznajú tento konkrétny jazyk. Okrem toho prepojenia na región Latinskej Ameriky (LATAM) možno nájsť v odkazoch na subjekty pôsobiace v bankovom a decentralizovanom finančnom sektore. Existuje tiež skutočnosť, že VBScript spojený s JanelaRAT možno vysledovať do Čile, Kolumbie a Mexika.