JanelaRAT Kötü Amaçlı Yazılımı

Mali bir kötü amaçlı yazılım olan JanelaRAT olarak izlenen önceden bilinmeyen bir kötü amaçlı yazılım tehdidinin, siber güvenlik uzmanları tarafından Latin Amerika (LATAM) bölgesindeki bireyleri hedef aldığı kaydedildi. Bu tehdit edici yazılım, güvenliği ihlal edilmiş Windows tabanlı sistemlerden hassas verileri çıkarma yeteneğine sahiptir.

JanelaRAT, öncelikle LATAM içinde faaliyet gösteren bankalar ve finans kurumları için finansal ve kripto para birimi ile ilgili bilgileri edinmeye yöneliktir. Kötü amaçlı yazılım, VMWare ve Microsoft gibi yasal kuruluşlardan alınan DLL yandan yükleme yöntemlerini kullanır. Bu teknik, JanelaRAT'ın uç nokta güvenlik önlemleri tarafından tespit edilmesini önlemesine olanak tanır.

JanelaRAT Kötü Amaçlı Yazılımının Bulaşma Zinciri

Enfeksiyon zincirinin kesin başlangıç noktası şu ana kadar doğrulanmadı. Ancak Haziran 2023'te kampanyayı tanımlayan siber güvenlik araştırmacıları, Visual Basic Komut Dosyası içeren bir ZIP arşiv dosyasını tanıtmak için bilinmeyen bir yöntemin kullanıldığını bildirdi.

VBScript, saldırganların sunucusundan ikinci bir ZIP arşivi almak için titizlikle hazırlanmıştır. Ek olarak, güvenliği ihlal edilmiş sistemde kötü amaçlı yazılımın kalıcılık mekanizmasını kurma amacına hizmet eden bir toplu iş dosyası bırakır.

ZIP arşivinde iki temel bileşen bir araya toplanmıştır: JanelaRAT yükü ve yasal bir yürütülebilir dosya, yani 'identity_helper.exe' veya 'vmnat.exe'. Bu yürütülebilir dosyalar, DLL yandan yükleme tekniği aracılığıyla JanelaRAT yükünü başlatmak için kullanılır.

JanelaRAT'ın kendisi dizi şifreleme içerir ve gerektiğinde boşta kalma durumuna geçme yeteneğine sahiptir. Bu işlevsellik, analiz ve tespitten kaçmaya yardımcı olur. JanelaRAT, ilk olarak 2014 yılında tanımlanan zararlı bir tehdit olan BX RAT'ın önemli ölçüde değiştirilmiş bir sürümünü temsil eder.

JanelaRAT, İstilacı Yeteneklerin Özel Listesine Sahiptir

Trojan'a dahil edilen yeni tehdit edici işlevler arasında, pencere başlıklarını ele geçirme ve bunları tehdit aktörlerine iletme yeteneği vardır. Ancak JanelaRAT, önce güvenliği ihlal edilmiş yeni ana bilgisayar ile saldırı operasyonunun Komuta ve Kontrol (C2) sunucusu arasında iletişim kurar. JanelaRAT ayrıca fare girişlerini izleme, tuş vuruşlarını kaydetme, ekran görüntüleri yakalama ve sistem meta verilerini toplama gibi ek işlevlere sahiptir.

Ancak araştırmacılara göre, JanelaRAT içinde gözlemlenen özellikler dizisi, BX RAT'in sunduklarının yalnızca bir alt kümesidir. Görünüşe göre, JanelaRAT geliştiricileri, kabuk komutlarını yürütmek, dosyaları değiştirmek veya süreçleri yönetmek için herhangi bir işlevsellik eklememeyi seçtiler.

Kaynak kodunun kapsamlı bir incelemesi, Portekizce'de birkaç dizenin varlığını ortaya çıkardı ve bu, tehdidi oluşturanların bu özel dile aşina olma olasılığını gösteriyor. Ayrıca, bankacılık ve merkezi olmayan finans sektörlerinde faaliyet gösteren kuruluşlara yapılan atıflarda Latin Amerika (LATAM) bölgesiyle bağlantılar bulunur. JanelaRAT ile ilişkili VBScript'in Şili, Kolombiya ve Meksika'ya kadar izlenebileceği de bir gerçektir.