Threat Database Malware بدافزار JanelaRAT

بدافزار JanelaRAT

تا Mezo در Malware, Remote Administration Tools
ترجمه به:
فارسی

یک تهدید بدافزار ناشناخته که قبلاً به عنوان JanelaRAT، یک بدافزار مالی ردیابی شده بود، توسط متخصصان امنیت سایبری ثبت شده است تا افراد را در منطقه آمریکای لاتین (LATAM) هدف قرار دهد. این نرم افزار تهدید کننده توانایی استخراج داده های حساس از سیستم های مبتنی بر ویندوز را دارد که در معرض خطر قرار گرفته اند.

JanelaRAT اساساً به سمت کسب اطلاعات مالی و ارزهای دیجیتال برای بانک ها و مؤسسات مالی فعال در LATAM است. این بدافزار از روش‌های بارگذاری جانبی DLL استفاده می‌کند که منبع آن نهادهای قانونی مانند VMWare و Microsoft است. این تکنیک به JanelaRAT اجازه می دهد تا از شناسایی توسط اقدامات امنیتی نقطه پایانی جلوگیری کند.

زنجیره عفونت بدافزار JanelaRAT

نقطه اولیه دقیق زنجیره عفونت تا کنون تایید نشده است. با این حال، محققان امنیت سایبری که این کمپین را در ژوئن 2023 شناسایی کردند، گزارش داده‌اند که از یک روش ناشناخته برای معرفی یک فایل آرشیو ZIP حاوی یک اسکریپت ویژوال بیسیک استفاده شده است.

VBScript به دقت برای بازیابی آرشیو ZIP دوم از سرور مهاجمان ساخته شده است. علاوه بر این، یک فایل دسته‌ای را حذف می‌کند که هدف آن ایجاد مکانیسم پایداری بدافزار در سیستم آسیب‌دیده است.

در بایگانی ZIP، دو مؤلفه کلیدی با هم ترکیب می‌شوند: بارگذاری JanelaRAT و یک فایل اجرایی قانونی، یعنی «identity_helper.exe» یا «vmnat.exe». این فایل های اجرایی برای راه اندازی بارگذاری JanelaRAT از طریق تکنیک بارگذاری جانبی DLL استفاده می شوند.

JanelaRAT خود دارای رمزگذاری رشته است و توانایی انتقال به حالت بیکار را در صورت لزوم دارد. این عملکرد به فرار از تجزیه و تحلیل و تشخیص کمک می کند. JanelaRAT یک نسخه اصلاح شده قابل توجه از BX RAT است، یک تهدید مضر که در ابتدا در سال 2014 شناسایی شد.

JanelaRAT دارای فهرست تخصصی از قابلیت های تهاجمی است

از جمله توابع تهدید کننده جدیدی که در تروجان گنجانده شده است، توانایی آن در تصرف عناوین پنجره و انتقال آنها به عوامل تهدید است. با این حال، JanelaRAT ابتدا ارتباط بین میزبان جدید در معرض خطر و سرور فرماندهی و کنترل (C2) عملیات حمله برقرار می کند. JanelaRAT همچنین دارای عملکردهای اضافی است، از جمله توانایی نظارت بر ورودی های ماوس، ضبط ضربه های کلید، گرفتن اسکرین شات و جمع آوری ابرداده های سیستم.

با این حال، به گفته محققان، مجموعه ای از ویژگی های مشاهده شده در JanelaRAT تنها زیر مجموعه ای از آنچه BX RAT ارائه می دهد است. ظاهراً، توسعه دهندگان JanelaRAT ترجیح دادند هیچ گونه عملکردی را برای اجرای دستورات پوسته، دستکاری فایل ها یا مدیریت فرآیندها در نظر نگیرند.

بررسی کامل کد منبع، وجود رشته‌های متعدد به زبان پرتغالی را آشکار کرده است، که نشان‌دهنده احتمال آشنایی سازندگان تهدید با این زبان خاص است. علاوه بر این، ارتباط با منطقه آمریکای لاتین (LATAM) در ارجاع به نهادهای فعال در بخش های بانکی و مالی غیرمتمرکز یافت می شود. همچنین این واقعیت وجود دارد که VBScript مرتبط با JanelaRAT در شیلی، کلمبیا و مکزیک قابل ردیابی است.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
11,322
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...