Phần mềm độc hại JanelaRAT

Một mối đe dọa phần mềm độc hại chưa biết trước đây được theo dõi là JanelaRAT, một phần mềm độc hại tài chính, đã được các chuyên gia an ninh mạng ghi nhận là đang nhắm mục tiêu các cá nhân trong khu vực Mỹ Latinh (LATAM). Phần mềm đe dọa này có khả năng trích xuất dữ liệu nhạy cảm từ các hệ thống dựa trên Windows đã bị xâm phạm.

JanelaRAT chủ yếu hướng tới việc thu thập thông tin liên quan đến tài chính và tiền điện tử cho các ngân hàng và tổ chức tài chính hoạt động trong LATAM. Phần mềm độc hại sử dụng các phương pháp tải bên DLL có nguồn gốc từ các thực thể hợp pháp như VMWare và Microsoft. Kỹ thuật này cho phép JanelaRAT tránh bị phát hiện bởi các biện pháp bảo mật điểm cuối.

Chuỗi lây nhiễm của phần mềm độc hại JanelaRAT

Điểm ban đầu chính xác của chuỗi lây nhiễm vẫn chưa được xác nhận cho đến nay. Tuy nhiên, các nhà nghiên cứu an ninh mạng đã xác định chiến dịch vào tháng 6 năm 2023 đã báo cáo rằng một phương pháp không xác định được sử dụng để giới thiệu tệp lưu trữ ZIP chứa Tập lệnh Visual Basic.

VBScript đã được tạo ra một cách tỉ mỉ để truy xuất kho lưu trữ ZIP thứ hai từ máy chủ của kẻ tấn công. Ngoài ra, nó sẽ loại bỏ một tệp bó phục vụ mục đích thiết lập cơ chế tồn tại lâu dài của phần mềm độc hại trên hệ thống bị xâm nhập.

Trong kho lưu trữ ZIP, hai thành phần chính được nhóm lại với nhau: tải trọng JanelaRAT và tệp thực thi hợp pháp, cụ thể là 'identity_helper.exe' hoặc 'vmnat.exe.' Các tệp thực thi này được sử dụng để khởi chạy tải trọng JanelaRAT thông qua kỹ thuật tải bên DLL.

Bản thân JanelaRAT kết hợp mã hóa chuỗi và sở hữu khả năng chuyển sang trạng thái không hoạt động khi cần thiết. Chức năng này hỗ trợ trong việc trốn tránh phân tích và phát hiện. JanelaRAT đại diện cho một phiên bản sửa đổi đáng kể của BX RAT, một mối đe dọa có hại ban đầu được xác định vào năm 2014.

JanelaRAT sở hữu một danh sách chuyên biệt về khả năng xâm lấn

Trong số các chức năng đe dọa mới được tích hợp vào Trojan là khả năng nắm bắt các tiêu đề cửa sổ và truyền chúng cho các tác nhân đe dọa. Tuy nhiên, trước tiên, JanelaRAT thiết lập liên lạc giữa máy chủ mới bị xâm nhập và máy chủ Chỉ huy và Kiểm soát (C2) của hoạt động tấn công. JanelaRAT cũng tự hào có các chức năng bổ sung, bao gồm khả năng theo dõi đầu vào của chuột, ghi lại các lần nhấn phím, chụp ảnh màn hình và thu thập siêu dữ liệu hệ thống.

Tuy nhiên, theo các nhà nghiên cứu, mảng tính năng được quan sát thấy trong JanelaRAT chỉ là một tập hợp con của những gì BX RAT cung cấp. Rõ ràng, các nhà phát triển của JanelaRAT đã chọn không bao gồm bất kỳ chức năng nào để thực thi lệnh shell, thao tác tệp hoặc quản lý quy trình.

Một cuộc kiểm tra kỹ lưỡng mã nguồn đã tiết lộ sự hiện diện của một số chuỗi bằng tiếng Bồ Đào Nha, cho thấy có khả năng những kẻ tạo ra mối đe dọa đã quen thuộc với ngôn ngữ cụ thể này. Ngoài ra, các kết nối với khu vực Mỹ Latinh (LATAM) được tìm thấy trong các tham chiếu đến các thực thể hoạt động trong lĩnh vực ngân hàng và tài chính phi tập trung. Ngoài ra còn có một thực tế là VBScript liên kết với JanelaRAT có thể bắt nguồn từ Chile, Colombia và Mexico.