JanelaRAT मैलवेयर
पहले अज्ञात मैलवेयर खतरे को जेनेलाआरएटी, एक वित्तीय मैलवेयर के रूप में ट्रैक किया गया था, जिसे साइबर सुरक्षा विशेषज्ञों द्वारा लैटिन अमेरिका (एलएटीएएम) क्षेत्र के भीतर व्यक्तियों को लक्षित करने के लिए रिकॉर्ड किया गया है। यह खतरनाक सॉफ़्टवेयर विंडोज़-आधारित सिस्टम से संवेदनशील डेटा निकालने की क्षमता रखता है, जिसके साथ समझौता किया गया है।
जेनेलाआरएटी मुख्य रूप से LATAM के भीतर काम करने वाले बैंकों और वित्तीय संस्थानों के लिए वित्तीय और क्रिप्टोकरेंसी से संबंधित जानकारी प्राप्त करने के लिए निर्देशित है। मैलवेयर VMWare और Microsoft जैसी वैध संस्थाओं से प्राप्त DLL साइड-लोडिंग विधियों का उपयोग करता है। यह तकनीक जेनेलाआरएटी को एंडपॉइंट सुरक्षा उपायों द्वारा पता लगाने से बचने की अनुमति देती है।
JanelaRAT मैलवेयर की संक्रमण श्रृंखला
अभी तक संक्रमण श्रृंखला के सटीक प्रारंभिक बिंदु की पुष्टि नहीं की गई है। हालाँकि, जून 2023 में अभियान की पहचान करने वाले साइबर सुरक्षा शोधकर्ताओं ने बताया है कि विज़ुअल बेसिक स्क्रिप्ट वाली ज़िप संग्रह फ़ाइल को पेश करने के लिए एक अज्ञात विधि का उपयोग किया जाता है।
हमलावरों के सर्वर से दूसरे ज़िप संग्रह को पुनः प्राप्त करने के लिए वीबीस्क्रिप्ट को सावधानीपूर्वक तैयार किया गया है। इसके अतिरिक्त, यह एक बैच फ़ाइल छोड़ता है जो समझौता किए गए सिस्टम पर मैलवेयर की दृढ़ता तंत्र स्थापित करने के उद्देश्य से कार्य करता है।
ज़िप संग्रह के भीतर, दो प्रमुख घटकों को एक साथ बंडल किया गया है: जेनेलाआरएटी पेलोड और एक वैध निष्पादन योग्य, अर्थात् 'पहचान_हेल्पर.exe' या 'vmnat.exe।' इन निष्पादनयोग्यों को डीएलएल साइड-लोडिंग की तकनीक के माध्यम से जेनेलाआरएटी पेलोड लॉन्च करने के लिए नियोजित किया जाता है।
जेनेलाआरएटी स्वयं स्ट्रिंग एन्क्रिप्शन को शामिल करता है और आवश्यक होने पर निष्क्रिय स्थिति में संक्रमण करने की क्षमता रखता है। यह कार्यक्षमता विश्लेषण और पता लगाने से बचने में सहायता करती है। जेनेलाआरएटी बीएक्स आरएटी के एक महत्वपूर्ण रूप से संशोधित संस्करण का प्रतिनिधित्व करता है, एक हानिकारक खतरा जिसे शुरुआत में 2014 में पहचाना गया था।
जेनेलाआरएटी के पास आक्रामक क्षमताओं की एक विशेष सूची है
ट्रोजन में शामिल नए धमकी भरे कार्यों में विंडो टाइटल को जब्त करने और उन्हें खतरे वाले अभिनेताओं तक पहुंचाने की क्षमता है। हालाँकि, जेनेलाआरएटी पहले नए समझौता किए गए होस्ट और हमले के ऑपरेशन के कमांड-एंड-कंट्रोल (सी2) सर्वर के बीच संचार स्थापित करता है। जेनेलाआरएटी अतिरिक्त कार्यक्षमताओं का भी दावा करता है, जिसमें माउस इनपुट की निगरानी करने, कीस्ट्रोक्स रिकॉर्ड करने, स्क्रीनशॉट कैप्चर करने और सिस्टम मेटाडेटा इकट्ठा करने की क्षमता शामिल है।
हालाँकि, शोधकर्ताओं के अनुसार, जेनेलाआरएटी के भीतर देखी गई सुविधाओं की श्रृंखला बीएक्स आरएटी द्वारा प्रदान की जाने वाली सुविधाओं का एक उपसमूह मात्र है। जाहिरा तौर पर, जेनेलाआरएटी के डेवलपर्स ने शेल कमांड निष्पादित करने, फ़ाइलों में हेरफेर करने या प्रक्रियाओं को प्रबंधित करने के लिए किसी भी कार्यक्षमता को शामिल नहीं करने का फैसला किया।
स्रोत कोड की गहन जांच से पुर्तगाली में कई स्ट्रिंग्स की उपस्थिति का पता चला है, जो इस संभावना को दर्शाता है कि खतरे के निर्माता इस विशेष भाषा से परिचित हैं। इसके अलावा, बैंकिंग और विकेंद्रीकृत वित्त क्षेत्रों में सक्रिय संस्थाओं के संदर्भ में लैटिन अमेरिका (LATAM) क्षेत्र से संबंध पाए जाते हैं। यह भी तथ्य है कि जेनेलाआरएटी से जुड़ी वीबीस्क्रिप्ट का पता चिली, कोलंबिया और मैक्सिको में लगाया जा सकता है।
