JanelaRAT மால்வேர்
நிதித் தீம்பொருளான JanelaRAT என அறியப்படாத தீம்பொருள் அச்சுறுத்தல், லத்தீன் அமெரிக்கா (LATAM) பிராந்தியத்தில் உள்ள தனிநபர்களைக் குறிவைப்பதற்காக இணைய பாதுகாப்பு நிபுணர்களால் பதிவு செய்யப்பட்டுள்ளது. இந்த அச்சுறுத்தும் மென்பொருளானது, சமரசம் செய்யப்பட்ட விண்டோஸ் அடிப்படையிலான கணினிகளில் இருந்து முக்கியமான தரவைப் பிரித்தெடுக்கும் திறனைக் கொண்டுள்ளது.
JanelaRAT முதன்மையாக LATAM க்குள் செயல்படும் வங்கிகள் மற்றும் நிதி நிறுவனங்களுக்கான நிதி மற்றும் கிரிப்டோகரன்சி தொடர்பான தகவல்களைப் பெறுவதை நோக்கமாகக் கொண்டுள்ளது. VMWare மற்றும் Microsoft போன்ற முறையான நிறுவனங்களிலிருந்து பெறப்பட்ட DLL பக்க-ஏற்றுதல் முறைகளை தீம்பொருள் பயன்படுத்துகிறது. இந்த நுட்பம், இறுதிப்புள்ளி பாதுகாப்பு நடவடிக்கைகளால் கண்டறிவதைத் தவிர்க்க JanelaRAT ஐ அனுமதிக்கிறது.
JanelaRAT மால்வேரின் தொற்று சங்கிலி
தொற்று சங்கிலியின் சரியான ஆரம்ப புள்ளி இதுவரை உறுதிப்படுத்தப்படவில்லை. இருப்பினும், ஜூன் 2023 இல் பிரச்சாரத்தை அடையாளம் கண்ட சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள், விஷுவல் பேசிக் ஸ்கிரிப்ட் கொண்ட ZIP காப்பகக் கோப்பை அறிமுகப்படுத்த அறியப்படாத முறை பயன்படுத்தப்படுகிறது என்று தெரிவித்துள்ளனர்.
தாக்குபவர்களின் சேவையகத்திலிருந்து இரண்டாவது ZIP காப்பகத்தை மீட்டெடுக்க VBScript நுட்பமாக வடிவமைக்கப்பட்டுள்ளது. கூடுதலாக, சமரசம் செய்யப்பட்ட கணினியில் தீம்பொருளின் நிலைத்தன்மை பொறிமுறையை நிறுவும் நோக்கத்திற்காக இது ஒரு தொகுதி கோப்பை கைவிடுகிறது.
ZIP காப்பகத்திற்குள், இரண்டு முக்கிய கூறுகள் ஒன்றாகத் தொகுக்கப்பட்டுள்ளன: JanelaRAT பேலோட் மற்றும் முறையான இயங்கக்கூடியது, அதாவது 'identity_helper.exe' அல்லது 'vmnat.exe.' DLL சைட்-லோடிங் நுட்பத்தின் மூலம் JanelaRAT பேலோடைத் தொடங்க இந்த எக்ஸிகியூட்டபிள்கள் பயன்படுத்தப்படுகின்றன.
JanelaRAT ஆனது சரம் குறியாக்கத்தை ஒருங்கிணைக்கிறது மற்றும் தேவைப்படும் போது செயலற்ற நிலைக்கு மாற்றும் திறனைக் கொண்டுள்ளது. இந்த செயல்பாடு பகுப்பாய்வு மற்றும் கண்டறிதலைத் தவிர்க்க உதவுகிறது. JanelaRAT ஆனது BX RAT இன் குறிப்பிடத்தக்க மாற்றியமைக்கப்பட்ட பதிப்பைக் குறிக்கிறது, இது 2014 இல் ஆரம்பத்தில் அடையாளம் காணப்பட்ட ஒரு தீங்கு விளைவிக்கும் அச்சுறுத்தலாகும்.
JanelaRAT ஆக்கிரமிப்பு திறன்களின் சிறப்புப் பட்டியலைக் கொண்டுள்ளது
ட்ரோஜனில் இணைக்கப்பட்டுள்ள புதிய அச்சுறுத்தும் செயல்பாடுகளில், சாளர தலைப்புகளை கைப்பற்றி அவற்றை அச்சுறுத்தும் நடிகர்களுக்கு அனுப்பும் திறன் உள்ளது. இருப்பினும், JanelaRAT முதலில் புதிதாக சமரசம் செய்யப்பட்ட ஹோஸ்ட் மற்றும் தாக்குதல் நடவடிக்கையின் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திற்கு இடையேயான தொடர்பை ஏற்படுத்துகிறது. மவுஸ் உள்ளீடுகளை கண்காணிக்கும் திறன், விசை அழுத்தங்களை பதிவு செய்தல், ஸ்கிரீன் ஷாட்களை கைப்பற்றுதல் மற்றும் கணினி மெட்டாடேட்டாவை சேகரிப்பது உள்ளிட்ட கூடுதல் செயல்பாடுகளை JanelaRAT கொண்டுள்ளது.
இருப்பினும், ஆராய்ச்சியாளர்களின் கூற்றுப்படி, JanelaRAT இல் காணப்பட்ட அம்சங்களின் வரிசையானது BX RAT வழங்கும் துணைக்குழுவாகும். வெளிப்படையாக, JanelaRAT இன் டெவலப்பர்கள் ஷெல் கட்டளைகளை செயல்படுத்துவதற்கும், கோப்புகளை கையாளுவதற்கும் அல்லது செயல்முறைகளை நிர்வகிப்பதற்கும் எந்த செயல்பாடுகளையும் சேர்க்க வேண்டாம் என்று தேர்வு செய்தனர்.
மூலக் குறியீட்டின் முழுமையான ஆய்வு போர்த்துகீசிய மொழியில் பல சரங்களின் இருப்பை வெளிப்படுத்தியுள்ளது, இது அச்சுறுத்தலை உருவாக்கியவர்கள் இந்த குறிப்பிட்ட மொழியை நன்கு அறிந்திருப்பதைக் குறிக்கிறது. கூடுதலாக, லத்தீன் அமெரிக்கா (LATAM) பிராந்தியத்திற்கான இணைப்புகள் வங்கி மற்றும் பரவலாக்கப்பட்ட நிதித் துறைகளில் செயல்படும் நிறுவனங்களின் குறிப்புகளில் காணப்படுகின்றன. JanelaRAT உடன் தொடர்புடைய VBScript சிலி, கொலம்பியா மற்றும் மெக்சிகோவில் கண்டறியப்படலாம் என்ற உண்மையும் உள்ளது.