Κακόβουλο λογισμικό JanelaRAT

Μια προηγουμένως άγνωστη απειλή κακόβουλου λογισμικού που παρακολουθείται ως JanelaRAT, ένα οικονομικό κακόβουλο λογισμικό, έχει καταγραφεί από ειδικούς στον τομέα της κυβερνοασφάλειας ότι στοχεύει άτομα στην περιοχή της Λατινικής Αμερικής (LATAM). Αυτό το απειλητικό λογισμικό έχει τη δυνατότητα να εξάγει ευαίσθητα δεδομένα από συστήματα που βασίζονται σε Windows που έχουν παραβιαστεί.

Η JanelaRAT στοχεύει κυρίως στην απόκτηση οικονομικών πληροφοριών και πληροφοριών που σχετίζονται με κρυπτονομίσματα για τράπεζες και χρηματοπιστωτικά ιδρύματα που λειτουργούν εντός της LATAM. Το κακόβουλο λογισμικό χρησιμοποιεί μεθόδους πλευρικής φόρτωσης DLL που προέρχονται από νόμιμες οντότητες όπως το VMWare και η Microsoft. Αυτή η τεχνική επιτρέπει στο JanelaRAT να αποφύγει τον εντοπισμό από μέτρα ασφαλείας τελικού σημείου.

Η αλυσίδα μόλυνσης του κακόβουλου λογισμικού JanelaRAT

Το ακριβές αρχικό σημείο της αλυσίδας μόλυνσης δεν έχει επιβεβαιωθεί μέχρι στιγμής. Ωστόσο, ερευνητές κυβερνοασφάλειας που εντόπισαν την καμπάνια τον Ιούνιο του 2023 ανέφεραν ότι χρησιμοποιείται μια άγνωστη μέθοδος για την εισαγωγή ενός αρχείου αρχείου ZIP που περιέχει ένα σενάριο της Visual Basic.

Το VBScript έχει δημιουργηθεί σχολαστικά για να ανακτήσει ένα δεύτερο αρχείο ZIP από τον διακομιστή των εισβολέων. Επιπλέον, απορρίπτει ένα αρχείο δέσμης που εξυπηρετεί τον σκοπό της δημιουργίας του μηχανισμού επιμονής του κακόβουλου λογισμικού στο παραβιασμένο σύστημα.

Μέσα στο αρχείο ZIP, δύο βασικά στοιχεία ομαδοποιούνται: το ωφέλιμο φορτίο JanelaRAT και ένα νόμιμο εκτελέσιμο αρχείο, δηλαδή το "identity_helper.exe" ή το "vmnat.exe". Αυτά τα εκτελέσιμα χρησιμοποιούνται για την εκκίνηση του ωφέλιμου φορτίου JanelaRAT μέσω της τεχνικής της πλευρικής φόρτωσης DLL.

Το ίδιο το JanelaRAT ενσωματώνει κρυπτογράφηση συμβολοσειρών και έχει τη δυνατότητα μετάβασης σε κατάσταση αδράνειας όταν είναι απαραίτητο. Αυτή η λειτουργία βοηθά στην αποφυγή ανάλυσης και ανίχνευσης. Το JanelaRAT αντιπροσωπεύει μια σημαντικά τροποποιημένη έκδοση του BX RAT, μιας επιβλαβούς απειλής που εντοπίστηκε αρχικά το 2014.

Η JanelaRAT διαθέτει μια εξειδικευμένη λίστα επεμβατικών δυνατοτήτων

Μεταξύ των νέων απειλητικών λειτουργιών που ενσωματώνονται στο Trojan είναι η ικανότητά του να δεσμεύει τίτλους παραθύρων και να τους μεταδίδει στους παράγοντες απειλών. Ωστόσο, το JanelaRAT εγκαθιστά πρώτα επικοινωνία μεταξύ του πρόσφατα παραβιασμένου κεντρικού υπολογιστή και του διακομιστή Command-and-Control (C2) της λειτουργίας επίθεσης. Το JanelaRAT διαθέτει επίσης πρόσθετες λειτουργίες, συμπεριλαμβανομένης της δυνατότητας παρακολούθησης εισόδων του ποντικιού, εγγραφής πλήκτρων, λήψης στιγμιότυπων οθόνης και συλλογής μεταδεδομένων συστήματος.

Ωστόσο, σύμφωνα με τους ερευνητές, η σειρά χαρακτηριστικών που παρατηρείται στο JanelaRAT είναι απλώς ένα υποσύνολο αυτού που προσφέρει το BX RAT. Προφανώς, οι προγραμματιστές του JanelaRAT επέλεξαν να μην συμπεριλάβουν λειτουργίες για την εκτέλεση εντολών φλοιού, τον χειρισμό αρχείων ή τη διαχείριση διαδικασιών.

Μια ενδελεχής εξέταση του πηγαίου κώδικα αποκάλυψε την παρουσία αρκετών συμβολοσειρών στα πορτογαλικά, υποδεικνύοντας μια πιθανότητα οι δημιουργοί της απειλής να είναι εξοικειωμένοι με τη συγκεκριμένη γλώσσα. Επιπλέον, οι συνδέσεις με την περιοχή της Λατινικής Αμερικής (LATAM) εντοπίζονται σε αναφορές σε οντότητες που δραστηριοποιούνται στον τραπεζικό και τον αποκεντρωμένο χρηματοπιστωτικό τομέα. Υπάρχει επίσης το γεγονός ότι το VBScript που σχετίζεται με το JanelaRAT μπορεί να εντοπιστεί στη Χιλή, την Κολομβία και το Μεξικό.