JanelaRAT Зловреден софтуер

Неизвестна досега заплаха от злонамерен софтуер, проследена като JanelaRAT, финансов злонамерен софтуер, е регистрирана от специалисти по киберсигурност като насочена към лица в региона на Латинска Америка (LATAM). Този заплашителен софтуер има способността да извлича чувствителни данни от базирани на Windows системи, които са били компрометирани.

JanelaRAT е насочена основно към получаване на финансова и свързана с криптовалута информация за банки и финансови институции, работещи в LATAM. Зловредният софтуер използва методи за странично зареждане на DLL, получени от легитимни субекти като VMWare и Microsoft. Тази техника позволява на JanelaRAT да избегне откриване чрез мерки за сигурност на крайната точка.

Веригата на заразяване на злонамерения софтуер JanelaRAT

Точната начална точка на веригата на инфекцията не е потвърдена досега. Въпреки това, изследователи на киберсигурността, които идентифицираха кампанията през юни 2023 г., съобщиха, че се използва неизвестен метод за въвеждане на ZIP архивен файл, съдържащ Visual Basic Script.

VBScript е щателно изработен за извличане на втори ZIP архив от сървъра на нападателите. Освен това, той изпуска пакетен файл, който служи за установяване на механизма за устойчивост на злонамерения софтуер в компрометираната система.

В рамките на ZIP архива два ключови компонента са пакетирани заедно: полезният товар JanelaRAT и легитимен изпълним файл, а именно „identity_helper.exe“ или „vmnat.exe“. Тези изпълними файлове се използват за стартиране на полезния товар JanelaRAT чрез техниката на DLL странично зареждане.

Самият JanelaRAT включва криптиране на низове и притежава способността да преминава в неактивно състояние, когато е необходимо. Тази функционалност помага при избягване на анализ и откриване. JanelaRAT представлява значително модифицирана версия на BX RAT, вредна заплаха, която първоначално беше идентифицирана през 2014 г.

JanelaRAT притежава специализиран списък от инвазивни способности

Сред новите заплашителни функции, включени в троянския кон, е способността му да изземва заглавия на прозорци и да ги предава на участниците в заплахата. Въпреки това, JanelaRAT първо установява комуникация между новокомпрометирания хост и сървъра за командване и управление (C2) на операцията на атаката. JanelaRAT може да се похвали и с допълнителни функционалности, включително възможността за наблюдение на въвеждане на мишката, записване на натискания на клавиши, заснемане на екранни снимки и събиране на системни метаданни.

Въпреки това, според изследователите, наборът от функции, наблюдавани в JanelaRAT, е само част от това, което предлага BX RAT. Очевидно разработчиците на JanelaRAT са избрали да не включват функционалности за изпълнение на команди на shell, манипулиране на файлове или управление на процеси.

Задълбочено изследване на изходния код разкри наличието на няколко низа на португалски, което показва възможност създателите на заплахата да са запознати с този конкретен език. В допълнение, връзки с региона на Латинска Америка (LATAM) се откриват в препратки към субекти, активни в банковия и децентрализирания финансов сектор. Съществува и фактът, че VBScript, свързан с JanelaRAT, може да бъде проследен до Чили, Колумбия и Мексико.