ЈанелаРАТ Малваре

Стручњаци за сајбер безбедност забележили су раније непознату претњу од малвера праћену као ЈанелаРАТ, финансијски малвер, да циља појединце у региону Латинске Америке (ЛАТАМ). Овај претећи софтвер има могућност да извуче осетљиве податке из система заснованих на Виндовс-у који су компромитовани.

ЈанелаРАТ је првенствено усмерен ка прибављању финансијских информација и информација у вези са криптовалутама за банке и финансијске институције које послују у оквиру ЛАТАМ-а. Малвер користи методе бочног учитавања ДЛЛ-а које потичу од легитимних ентитета као што су ВМВаре и Мицрософт. Ова техника омогућава ЈанелаРАТ-у да избегне откривање мерама безбедности крајње тачке.

Ланац заразе злонамерног софтвера ЈанелаРАТ

Тачна почетна тачка ланца инфекције до сада није потврђена. Међутим, истраживачи сајбер безбедности који су идентификовали кампању у јуну 2023. известили су да се непозната метода користи за увођење ЗИП архивске датотеке која садржи Висуал Басиц скрипту.

ВБСцрипт је помно направљен да преузме другу ЗИП архиву са сервера нападача. Поред тога, испушта скупни фајл који служи за успостављање механизма постојаности малвера на компромитованом систему.

Унутар ЗИП архиве, две кључне компоненте су повезане заједно: ЈанелаРАТ корисни терет и легитимни извршни фајл, наиме 'идентити_хелпер.еке' или 'вмнат.еке'. Ови извршни програми се користе за покретање ЈанелаРАТ корисног оптерећења техником ДЛЛ бочног учитавања.

Сам ЈанелаРАТ укључује шифровање стрингова и поседује могућност преласка у стање мировања када је то потребно. Ова функционалност помаже у избегавању анализе и откривања. ЈанелаРАТ представља значајно модификовану верзију БКС РАТ-а, штетне претње која је првобитно идентификована још 2014. године.

ЈанелаРАТ поседује специјализовану листу инвазивних способности

Међу новим претећим функцијама уграђеним у Тројан је његова способност да заузме наслове прозора и пренесе их актерима претњи. Међутим, ЈанелаРАТ прво успоставља комуникацију између новокомпромитованог хоста и Цомманд-анд-Цонтрол (Ц2) сервера операције напада. ЈанелаРАТ се такође може похвалити додатним функционалностима, укључујући могућност праћења уноса мишем, снимања притисака на тастере, снимања екрана и прикупљања системских метаподатака.

Међутим, према истраживачима, низ карактеристика примећених у ЈанелаРАТ-у је само подскуп онога што БКС РАТ нуди. Очигледно, програмери ЈанелаРАТ-а су одлучили да не укључе никакве функционалности за извршавање команди љуске, манипулисање датотекама или управљање процесима.

Детаљно испитивање изворног кода открило је присуство неколико низова на португалском, што указује на могућност да су креатори претње упознати са овим језиком. Поред тога, везе са регионом Латинске Америке (ЛАТАМ) налазе се у референцама на субјекте који су активни у банкарском и децентрализованом финансијском сектору. Такође постоји чињеница да се ВБСцрипт повезан са ЈанелаРАТ-ом може пратити до Чилеа, Колумбије и Мексика.