JanelaRAT Malware

Ett tidigare okänt hot mot skadlig programvara som spårats som JanelaRAT, en finansiell skadlig kod, har registrerats av cybersäkerhetsspecialister för att rikta in sig på individer inom regionen Latinamerika (LATAM). Denna hotfulla programvara har förmågan att extrahera känslig data från Windows-baserade system som har äventyrats.

JanelaRAT är främst inriktat på att skaffa finansiell och kryptovalutrelaterad information för banker och finansiella institutioner som verkar inom LATAM. Skadlig programvara använder DLL-sidoladdningsmetoder som kommer från legitima enheter som VMWare och Microsoft. Denna teknik gör det möjligt för JanelaRAT att undvika upptäckt av slutpunktssäkerhetsåtgärder.

Infektionskedjan för JanelaRAT Malware

Den exakta initiala punkten i infektionskedjan har ännu inte bekräftats. Men cybersäkerhetsforskare som identifierade kampanjen i juni 2023 har rapporterat att en okänd metod används för att introducera en ZIP-arkivfil som innehåller ett Visual Basic-skript.

VBScript har utformats noggrant för att hämta ett andra ZIP-arkiv från angriparnas server. Dessutom släpper den en batchfil som tjänar syftet att etablera skadlig programvaras beständighetsmekanism på det komprometterade systemet.

Inom ZIP-arkivet buntas två nyckelkomponenter ihop: JanelaRAT-nyttolasten och en legitim körbar, nämligen 'identity_helper.exe' eller 'vmnat.exe'. Dessa körbara filer används för att starta JanelaRAT-nyttolasten genom tekniken med DLL-sidoladdning.

JanelaRAT själv innehåller strängkryptering och har förmågan att övergå till ett viloläge när det behövs. Denna funktion hjälper till att undvika analys och upptäckt. JanelaRAT representerar en väsentligt modifierad version av BX RAT, ett skadligt hot som ursprungligen identifierades redan 2014.

JanelaRAT har en specialiserad lista över invasiva förmågor

Bland de nya hotfulla funktionerna som ingår i trojanen är dess förmåga att beslagta fönstertitlar och överföra dem till hotaktörerna. Men JanelaRAT etablerar först kommunikation mellan den nyligen komprometterade värden och kommando-och-kontroll-servern (C2) för attackoperationen. JanelaRAT har också ytterligare funktioner, inklusive möjligheten att övervaka musinmatningar, spela in tangenttryckningar, ta skärmdumpar och samla in systemmetadata.

Men enligt forskare är den mängd funktioner som observeras inom JanelaRAT bara en delmängd av vad BX RAT erbjuder. Tydligen valde utvecklarna av JanelaRAT att inte inkludera några funktioner för att utföra skalkommandon, manipulera filer eller hantera processer.

En grundlig granskning av källkoden har avslöjat förekomsten av flera strängar på portugisiska, vilket indikerar en möjlighet att skaparna av hotet är bekanta med just detta språk. Dessutom finns kopplingar till regionen Latinamerika (LATAM) i hänvisningar till enheter verksamma inom banksektorn och decentraliserade finanssektorer. Det finns också det faktum att VBScript associerat med JanelaRAT kunde spåras till Chile, Colombia och Mexiko.