Зловмисне програмне забезпечення JanelaRAT

Фахівці з кібербезпеки зафіксували раніше невідому загрозу зловмисного програмного забезпечення, яке відслідковується як JanelaRAT, фінансове зловмисне програмне забезпечення, націлене на осіб у регіоні Латинської Америки (LATAM). Це загрозливе програмне забезпечення має здатність витягувати конфіденційні дані з систем на базі Windows, які були зламані.

JanelaRAT насамперед спрямовано на отримання фінансової інформації та інформації, пов’язаної з криптовалютою, для банків і фінансових установ, що працюють у межах LATAM. Зловмисне програмне забезпечення використовує методи бокового завантаження DLL, отримані від законних організацій, таких як VMWare та Microsoft. Ця техніка дозволяє JanelaRAT уникнути виявлення засобами безпеки кінцевої точки.

Ланцюжок зараження шкідливого програмного забезпечення JanelaRAT

Точна початкова точка ланцюга зараження досі не підтверджена. Проте дослідники з кібербезпеки, які виявили кампанію в червні 2023 року, повідомили, що використовується невідомий метод для введення ZIP-архіву, який містить сценарій Visual Basic.

VBScript був ретельно розроблений для отримання другого архіву ZIP із сервера зловмисників. Крім того, він видаляє пакетний файл, який служить для встановлення механізму збереження зловмисного програмного забезпечення в скомпрометованій системі.

У ZIP-архіві об’єднано два ключові компоненти: корисне навантаження JanelaRAT і законний виконуваний файл, а саме «identity_helper.exe» або «vmnat.exe». Ці виконувані файли використовуються для запуску корисного навантаження JanelaRAT за допомогою техніки бокового завантаження DLL.

Сам JanelaRAT включає шифрування рядків і має здатність переходити в стан очікування, коли це необхідно. Ця функція допомагає уникнути аналізу та виявлення. JanelaRAT представляє суттєво модифіковану версію BX RAT, шкідливої загрози, яку вперше виявили ще в 2014 році.

JanelaRAT має спеціалізований список інвазивних можливостей

Серед нових загрозливих функцій, включених у троян, є його здатність захоплювати заголовки вікон і передавати їх суб’єктам загрози. Однак JanelaRAT спочатку встановлює зв’язок між нещодавно скомпрометованим хостом і сервером командування та керування (C2) операції атаки. JanelaRAT також може похвалитися додатковими функціями, включаючи можливість відстежувати введення мишею, записувати натискання клавіш, робити знімки екрана та збирати системні метадані.

Однак, за словами дослідників, набір функцій, які спостерігаються в JanelaRAT, є лише частиною того, що пропонує BX RAT. Очевидно, розробники JanelaRAT вирішили не включати жодних функцій для виконання команд оболонки, маніпулювання файлами чи керування процесами.

Ретельне дослідження вихідного коду виявило наявність кількох рядків португальською мовою, що вказує на те, що творці загрози знайомі саме з цією мовою. Крім того, зв’язки з регіоном Латинської Америки (LATAM) виявляються у згадках про організації, що працюють у банківському та децентралізованому фінансовому секторах. Існує також той факт, що VBScript, пов’язаний з JanelaRAT, можна простежити до Чилі, Колумбії та Мексики.