תוכנת זדונית JanelaRAT

איום תוכנה זדונית שלא היה ידוע בעבר, המלווה כ-JanelaRAT, תוכנה זדונית פיננסית, תועד על ידי מומחי אבטחת סייבר כדי להתמקד באנשים באזור אמריקה הלטינית (LATAM). לתוכנה המאיימת הזו יש את היכולת לחלץ נתונים רגישים ממערכות מבוססות Windows שנפגעו.

JanelaRAT מיועדת בעיקר לרכישת מידע פיננסי וקשור למטבעות קריפטוגרפיים עבור בנקים ומוסדות פיננסיים הפועלים בתוך LATAM. התוכנה הזדונית משתמשת בשיטות טעינת צד של DLL שמקורן בגורמים לגיטימיים כגון VMWare ו-Microsoft. טכניקה זו מאפשרת ל-JanelaRAT להימנע מזיהוי על ידי אמצעי אבטחה של נקודות קצה.

שרשרת הזיהום של תוכנת זדונית JanelaRAT

הנקודה הראשונית המדויקת של שרשרת ההדבקה לא אושרה עד כה. עם זאת, חוקרי אבטחת סייבר שזיהו את הקמפיין ביוני 2023 דיווחו כי נעשה שימוש בשיטה לא ידועה כדי להציג קובץ ארכיון ZIP המכיל סקריפט Visual Basic.

ה-VBScript עוצב בקפידה כדי לאחזר ארכיון ZIP שני מהשרת של התוקפים. בנוסף, הוא מוריד קובץ אצווה שמשרת את המטרה של ביסוס מנגנון ההתמדה של התוכנה הזדונית במערכת שנפרצה.

בתוך ארכיון ה-ZIP, שני רכיבי מפתח מאגדים יחד: מטען JanelaRAT וקובץ הפעלה לגיטימי, כלומר 'identity_helper.exe' או 'vmnat.exe'. קובצי הפעלה אלה משמשים להפעלת מטען JanelaRAT באמצעות הטכניקה של טעינת DLL בצד.

JanelaRAT עצמה משלבת הצפנת מחרוזת ובעלת היכולת לעבור למצב סרק בעת הצורך. פונקציונליות זו מסייעת לחמוק מניתוח וזיהוי. JanelaRAT מייצגת גרסה שונה משמעותית של BX RAT, איום מזיק שזוהה לראשונה ב-2014.

ל- JanelaRAT יש רשימה מיוחדת של יכולות פולשניות

בין הפונקציות המאיימות החדשות ששולבו בטרויאני היא יכולתו לתפוס כותרות חלונות ולשדר אותן לגורמי האיום. עם זאת, JanelaRAT מייצרת תחילה תקשורת בין המארח החדש שנפרץ לשרת ה-Command-and-Control (C2) של פעולת ההתקפה. JanelaRAT מתגאה גם בפונקציונליות נוספת, כולל היכולת לנטר כניסות עכבר, להקליט הקשות, לכידת צילומי מסך ולאסוף מטא נתונים של המערכת.

עם זאת, על פי החוקרים, מערך התכונות שנצפה בתוך JanelaRAT הוא רק תת-קבוצה של מה ש-BX RAT מציע. ככל הנראה, המפתחים של JanelaRAT בחרו לא לכלול פונקציונליות כלשהי לביצוע פקודות מעטפת, מניפולציה של קבצים או ניהול תהליכים.

בחינה יסודית של קוד המקור חשפה את נוכחותם של מספר מחרוזות בפורטוגזית, מה שמצביע על אפשרות שיוצרי האיום מכירים את השפה הספציפית הזו. בנוסף, חיבורים לאזור אמריקה הלטינית (LATAM) נמצאים בהפניות לגופים הפעילים במגזרי הבנקאות והפיננסים המבוזרים. יש גם את העובדה שניתן לאתר את ה-VBScript המשויך ל-JanelaRAT לצ'ילה, קולומביה ומקסיקו.