JanelaRAT-haittaohjelma

Kyberturvallisuusasiantuntijat ovat tallentaneet aiemmin tuntemattoman haittaohjelmauhan, jota jäljitetään nimellä JanelaRAT, taloushaittaohjelma, ja se kohdistuu Latinalaisen Amerikan (LATAM) alueella oleviin henkilöihin. Tämä uhkaava ohjelmisto pystyy poimimaan arkaluontoisia tietoja Windows-pohjaisista järjestelmistä, jotka ovat vaarantuneet.

JanelaRAT on ensisijaisesti suunnattu rahoitus- ja kryptovaluuttoihin liittyvien tietojen hankkimiseen LATAM-alueella toimiville pankeille ja rahoituslaitoksille. Haittaohjelma käyttää DLL-sivulatausmenetelmiä, jotka on hankittu laillisilta tahoilta, kuten VMWarelta ja Microsoftilta. Tämän tekniikan avulla JanelaRAT voi välttää päätepisteiden suojaustoimenpiteiden havaitsemisen.

JanelaRAT-haittaohjelman infektioketju

Tartuntaketjun tarkkaa alkukohtaa ei ole toistaiseksi vahvistettu. Kampanjan kesäkuussa 2023 tunnistaneet kyberturvallisuustutkijat ovat kuitenkin raportoineet, että Visual Basic -skriptin sisältävän ZIP-arkistotiedoston esittelyyn käytetään tuntematonta menetelmää.

VBScript on suunniteltu huolellisesti hakemaan toinen ZIP-arkisto hyökkääjien palvelimelta. Lisäksi se pudottaa erätiedoston, jonka tarkoituksena on määrittää haittaohjelman pysyvyysmekanismi vaarantuneessa järjestelmässä.

ZIP-arkistossa kaksi avainkomponenttia on niputettu yhteen: JanelaRAT-hyötykuorma ja laillinen suoritettava tiedosto, nimittäin "identity_helper.exe" tai "vmnat.exe". Näitä suoritettavia tiedostoja käytetään JanelaRAT-hyötykuorman käynnistämiseen DLL-sivulataustekniikalla.

JanelaRAT itsessään sisältää merkkijonosalauksen ja sillä on kyky siirtyä lepotilaan tarvittaessa. Tämä toiminto auttaa välttämään analyysin ja havaitsemisen. JanelaRAT edustaa merkittävästi muokattua versiota BX RAT:sta, haitallisesta uhasta, joka tunnistettiin alun perin vuonna 2014.

JanelaRATilla on erikoistunut luettelo invasiivisista ominaisuuksista

Troijalaiseen sisällytettyjen uusien uhkaavien toimintojen joukossa on sen kyky kaapata ikkunoiden otsikot ja välittää ne uhkatoimijoille. JanelaRAT kuitenkin muodostaa ensin tiedonsiirron äskettäin vaarantuneen isännän ja hyökkäysoperaation Command-and-Control (C2) -palvelimen välille. JanelaRATissa on myös lisätoimintoja, kuten mahdollisuus seurata hiiren syötteitä, tallentaa näppäinpainalluksia, kaapata kuvakaappauksia ja kerätä järjestelmän metatietoja.

Tutkijoiden mukaan JanelaRATissa havaitut ominaisuudet ovat kuitenkin vain osa siitä, mitä BX RAT tarjoaa. Ilmeisesti JanelaRATin kehittäjät päättivät olla sisällyttämättä mitään toimintoja komentotulkkikomentojen suorittamiseen, tiedostojen käsittelyyn tai prosessien hallintaan.

Lähdekoodin perusteellinen tutkimus on paljastanut useiden portugalilaisten merkkijonojen olemassaolon, mikä viittaa mahdollisuuteen, että uhan tekijät tuntevat tämän kielen. Lisäksi yhteyksiä Latinalaisen Amerikan (LATAM) alueelle löytyy viittauksista pankki- ja hajautetun rahoitussektorin toimijoihin. On myös se tosiasia, että JanelaRATiin liittyvä VBScript voidaan jäljittää Chileen, Kolumbiaan ja Meksikoon.