JanelaRAT Malware

Ang isang dati nang hindi kilalang banta ng malware na sinusubaybayan bilang JanelaRAT, isang financial malware, ay naitala ng mga cybersecurity specialist upang mag-target ng mga indibidwal sa loob ng rehiyon ng Latin America (LATAM). Ang nagbabantang software na ito ay may kakayahang mag-extract ng sensitibong data mula sa Windows-based na mga system na nakompromiso.

Pangunahing nakadirekta ang JanelaRAT sa pagkuha ng impormasyong pinansyal at nauugnay sa cryptocurrency para sa mga bangko at institusyong pinansyal na tumatakbo sa loob ng LATAM. Gumagamit ang malware ng mga pamamaraan sa side-loading ng DLL na nagmula sa mga lehitimong entity gaya ng VMWare at Microsoft. Binibigyang-daan ng diskarteng ito ang JanelaRAT na maiwasan ang pagtuklas sa pamamagitan ng mga hakbang sa seguridad ng endpoint.

Ang Infection Chain ng JanelaRAT Malware

Ang eksaktong paunang punto ng kadena ng impeksyon ay hindi pa nakumpirma sa ngayon. Gayunpaman, ang mga mananaliksik sa cybersecurity na tumukoy sa kampanya noong Hunyo 2023 ay nag-ulat na ang isang hindi kilalang paraan ay ginagamit upang ipakilala ang isang ZIP archive file na naglalaman ng isang Visual Basic Script.

Ang VBScript ay maingat na ginawa upang makuha ang pangalawang ZIP archive mula sa server ng mga umaatake. Bukod pa rito, nag-drop ito ng isang batch file na nagsisilbi sa layunin ng pagtatatag ng mekanismo ng pagtitiyaga ng malware sa nakompromisong system.

Sa loob ng ZIP archive, dalawang pangunahing bahagi ang pinagsama-sama: ang JanelaRAT payload at isang lehitimong executable, katulad ng 'identity_helper.exe' o 'vmnat.exe.' Ang mga executable na ito ay ginagamit upang ilunsad ang JanelaRAT payload sa pamamagitan ng pamamaraan ng DLL side-loading.

Ang JanelaRAT mismo ay nagsasama ng string encryption at nagtataglay ng kakayahang lumipat sa isang idle state kung kinakailangan. Nakakatulong ang functionality na ito sa pag-iwas sa pagsusuri at pagtuklas. Kinakatawan ng JanelaRAT ang isang makabuluhang binagong bersyon ng BX RAT, isang mapaminsalang banta na unang natukoy noong 2014.

Si JanelaRAT ay Nagtataglay ng Espesyal na Listahan ng Mga Invasive na Kakayahang

Kabilang sa mga bagong nagbabantang function na isinama sa Trojan ay ang kakayahan nitong sakupin ang mga pamagat ng window at ipadala ang mga ito sa mga aktor ng pagbabanta. Gayunpaman, unang itinatag ng JanelaRAT ang komunikasyon sa pagitan ng bagong nakompromisong host at ng Command-and-Control (C2) server ng operasyon ng pag-atake. Ipinagmamalaki din ng JanelaRAT ang mga karagdagang pag-andar, kabilang ang kakayahang subaybayan ang mga input ng mouse, mag-record ng mga keystroke, kumuha ng mga screenshot at mangalap ng metadata ng system.

Gayunpaman, ayon sa mga mananaliksik, ang hanay ng mga feature na naobserbahan sa loob ng JanelaRAT ay isang subset lamang ng kung ano ang inaalok ng BX RAT. Tila, pinili ng mga developer ng JanelaRAT na huwag isama ang anumang mga pagpapagana para sa pagpapatupad ng mga command ng shell, pagmamanipula ng mga file, o pamamahala ng mga proseso.

Ang isang masusing pagsusuri sa source code ay nagpakita ng pagkakaroon ng ilang mga string sa Portuges, na nagpapahiwatig ng posibilidad na ang mga lumikha ng banta ay pamilyar sa partikular na wikang ito. Bilang karagdagan, ang mga koneksyon sa rehiyon ng Latin America (LATAM) ay matatagpuan sa mga sanggunian sa mga entity na aktibo sa mga sektor ng pagbabangko at desentralisadong pananalapi. Mayroon ding katotohanan na ang VBScript na nauugnay sa JanelaRAT ay maaaring masubaybayan sa Chile, Colombia at Mexico.