JanelaRAT البرامج الضارة

تم تسجيل تهديد البرامج الضارة غير المعروف سابقًا باعتباره JanelaRAT ، وهو برنامج ضار مالي ، بواسطة متخصصين في الأمن السيبراني لاستهداف الأفراد في منطقة أمريكا اللاتينية (LATAM). هذا البرنامج الذي يمثل تهديدًا لديه القدرة على استخراج البيانات الحساسة من الأنظمة المستندة إلى Windows التي تم اختراقها.

يتم توجيه JanelaRAT بشكل أساسي نحو الحصول على المعلومات المالية والمتعلقة بالعملات المشفرة للبنوك والمؤسسات المالية العاملة في LATAM. تستخدم البرامج الضارة طرق التحميل الجانبي لـ DLL مصدرها كيانات شرعية مثل VMWare و Microsoft. تسمح هذه التقنية لـ JanelaRAT بتجنب الكشف عن طريق إجراءات أمان نقطة النهاية.

سلسلة العدوى لبرامج JanelaRAT الضارة

لم يتم تأكيد النقطة الأولية الدقيقة لسلسلة العدوى حتى الآن. ومع ذلك ، أفاد باحثو الأمن السيبراني الذين حددوا الحملة في يونيو 2023 أنه يتم استخدام طريقة غير معروفة لتقديم ملف أرشيف مضغوط يحتوي على برنامج Visual Basic Script.

تم تصميم VBScript بدقة لاسترداد أرشيف ZIP ثانٍ من خادم المهاجمين. بالإضافة إلى ذلك ، يقوم بإسقاط ملف دفعي يخدم غرض إنشاء آلية استمرار البرامج الضارة على النظام المخترق.

في أرشيف ZIP ، يتم تجميع مكونين رئيسيين معًا: حمولة JanelaRAT وملف تنفيذي شرعي ، أي "Ident_helper.exe" أو "vmnat.exe". يتم استخدام هذه الملفات التنفيذية لإطلاق حمولة JanelaRAT من خلال تقنية التحميل الجانبي لـ DLL.

يدمج JanelaRAT نفسه تشفير السلسلة ويمتلك القدرة على الانتقال إلى حالة الخمول عند الضرورة. تساعد هذه الوظيفة في التملص من التحليل والكشف. يمثل JanelaRAT نسخة معدلة بشكل كبير من BX RAT ، وهو تهديد ضار تم تحديده في البداية في عام 2014.

تمتلك JanelaRAT قائمة متخصصة بالقدرات الغازية

من بين وظائف التهديد الجديدة المدمجة في حصان طروادة قدرته على الاستيلاء على عناوين النوافذ ونقلها إلى الجهات المهددة. ومع ذلك ، ينشئ JanelaRAT أولاً اتصالاً بين المضيف المخترق حديثًا وخادم القيادة والتحكم (C2) لعملية الهجوم. تتميز JanelaRAT أيضًا بوظائف إضافية ، بما في ذلك القدرة على مراقبة مدخلات الماوس وتسجيل ضغطات المفاتيح والتقاط لقطات الشاشة وجمع البيانات الوصفية للنظام.

ومع ذلك ، وفقًا للباحثين ، فإن مجموعة الميزات التي تمت ملاحظتها في JanelaRAT هي مجرد مجموعة فرعية مما تقدمه BX RAT. على ما يبدو ، اختار مطورو JanelaRAT عدم تضمين أي وظائف لتنفيذ أوامر shell أو معالجة الملفات أو إدارة العمليات.

كشف الفحص الشامل للشفرة المصدرية عن وجود عدة سلاسل باللغة البرتغالية ، مما يشير إلى احتمال أن يكون منشئو التهديد على دراية بهذه اللغة المعينة. بالإضافة إلى ذلك ، توجد روابط مع منطقة أمريكا اللاتينية (LATAM) في الإشارات إلى الكيانات النشطة في قطاعي البنوك والتمويل اللامركزي. هناك أيضًا حقيقة أن VBScript المرتبط بـ JanelaRAT يمكن تتبعه إلى تشيلي وكولومبيا والمكسيك.