JanelaRAT Zlonamerna programska oprema

Strokovnjaki za kibernetsko varnost so ugotovili, da prej neznana grožnja zlonamerne programske opreme, ki jo spremljajo kot JanelaRAT, finančna zlonamerna programska oprema, cilja na posameznike v regiji Latinske Amerike (LATAM). Ta nevarna programska oprema lahko izvleče občutljive podatke iz sistemov Windows, ki so bili ogroženi.

JanelaRAT je primarno usmerjen v pridobivanje finančnih informacij in informacij, povezanih s kriptovalutami, za banke in finančne institucije, ki delujejo znotraj LATAM. Zlonamerna programska oprema uporablja metode stranskega nalaganja DLL, ki izvirajo iz zakonitih subjektov, kot sta VMWare in Microsoft. Ta tehnika omogoča JanelaRAT, da se izogne odkrivanju varnostnih ukrepov končne točke.

Veriga okužbe z zlonamerno programsko opremo JanelaRAT

Natančna začetna točka verige okužbe še ni bila potrjena. Vendar so raziskovalci kibernetske varnosti, ki so identificirali kampanjo junija 2023, poročali, da se za uvedbo arhivske datoteke ZIP, ki vsebuje skript Visual Basic, uporablja neznana metoda.

VBScript je bil natančno izdelan za pridobitev drugega arhiva ZIP s strežnika napadalcev. Poleg tega spusti paketno datoteko, ki je namenjena vzpostavitvi mehanizma obstojnosti zlonamerne programske opreme v ogroženem sistemu.

Znotraj arhiva ZIP sta združeni dve ključni komponenti: obremenitev JanelaRAT in zakonita izvršljiva datoteka, in sicer 'identity_helper.exe' ali 'vmnat.exe.' Te izvršljive datoteke se uporabljajo za zagon koristnega tovora JanelaRAT s tehniko stranskega nalaganja DLL.

JanelaRAT sama vključuje šifriranje nizov in ima možnost prehoda v stanje mirovanja, kadar je to potrebno. Ta funkcija pomaga pri izogibanju analizi in odkrivanju. JanelaRAT predstavlja bistveno spremenjeno različico BX RAT, škodljive grožnje, ki je bila prvotno identificirana že leta 2014.

JanelaRAT ima specializiran seznam invazivnih zmogljivosti

Med novimi funkcijami za grožnje, vključenimi v trojanca, je njegova zmožnost zasega naslovov oken in njihovega posredovanja akterjem groženj. Vendar JanelaRAT najprej vzpostavi komunikacijo med na novo ogroženim gostiteljem in strežnikom Command-and-Control (C2) operacije napada. JanelaRAT se ponaša tudi z dodatnimi funkcionalnostmi, vključno z možnostjo spremljanja vnosov miške, snemanja pritiskov tipk, zajemanja posnetkov zaslona in zbiranja sistemskih metapodatkov.

Vendar pa je po mnenju raziskovalcev nabor funkcij, opaženih v JanelaRAT, le podmnožica tega, kar ponuja BX RAT. Očitno so se razvijalci JanelaRAT odločili, da ne bodo vključili nobenih funkcij za izvajanje ukazov lupine, manipuliranje z datotekami ali upravljanje procesov.

Temeljit pregled izvorne kode je razkril prisotnost več nizov v portugalščini, kar kaže na možnost, da so ustvarjalci grožnje seznanjeni s tem posebnim jezikom. Poleg tega so povezave z regijo Latinske Amerike (LATAM) najdene v sklicevanju na subjekte, ki so dejavni v bančnem in decentraliziranem finančnem sektorju. Obstaja tudi dejstvo, da je VBScript, povezan z JanelaRAT, mogoče izslediti v Čilu, Kolumbiji in Mehiki.