JanelaRAT మాల్వేర్
ఆర్థిక మాల్వేర్ అయిన JanelaRATగా ట్రాక్ చేయబడిన మునుపు తెలియని మాల్వేర్ ముప్పు, లాటిన్ అమెరికా (LATAM) ప్రాంతంలోని వ్యక్తులను లక్ష్యంగా చేసుకునేలా సైబర్ సెక్యూరిటీ నిపుణులు రికార్డ్ చేసారు. ఈ బెదిరింపు సాఫ్ట్వేర్ రాజీపడిన Windows-ఆధారిత సిస్టమ్ల నుండి సున్నితమైన డేటాను సంగ్రహించే సామర్థ్యాన్ని కలిగి ఉంది.
JanelaRAT ప్రాథమికంగా LATAMలో పనిచేస్తున్న బ్యాంకులు మరియు ఆర్థిక సంస్థల కోసం ఆర్థిక మరియు క్రిప్టోకరెన్సీ సంబంధిత సమాచారాన్ని పొందడంపై నిర్దేశించబడింది. మాల్వేర్ VMWare మరియు Microsoft వంటి చట్టబద్ధమైన సంస్థల నుండి పొందిన DLL సైడ్-లోడింగ్ పద్ధతులను ఉపయోగిస్తుంది. ఈ సాంకేతికత ఎండ్పాయింట్ భద్రతా చర్యల ద్వారా గుర్తించడాన్ని నివారించడానికి JanelaRATని అనుమతిస్తుంది.
JanelaRAT మాల్వేర్ యొక్క ఇన్ఫెక్షన్ చైన్
సంక్రమణ గొలుసు యొక్క ఖచ్చితమైన ప్రారంభ స్థానం ఇప్పటివరకు నిర్ధారించబడలేదు. అయినప్పటికీ, జూన్ 2023లో ప్రచారాన్ని గుర్తించిన సైబర్ సెక్యూరిటీ పరిశోధకులు విజువల్ బేసిక్ స్క్రిప్ట్ను కలిగి ఉన్న జిప్ ఆర్కైవ్ ఫైల్ను పరిచయం చేయడానికి తెలియని పద్ధతిని ఉపయోగించారని నివేదించారు.
దాడి చేసేవారి సర్వర్ నుండి రెండవ జిప్ ఆర్కైవ్ను తిరిగి పొందేందుకు VBScript నిశితంగా రూపొందించబడింది. అదనంగా, ఇది రాజీపడిన సిస్టమ్లో మాల్వేర్ యొక్క పెర్సిస్టెన్స్ మెకానిజమ్ను స్థాపించే ఉద్దేశ్యంతో పనిచేసే బ్యాచ్ ఫైల్ను వదిలివేస్తుంది.
జిప్ ఆర్కైవ్లో, రెండు కీలక భాగాలు కలిసి బండిల్ చేయబడ్డాయి: JanelaRAT పేలోడ్ మరియు చట్టబద్ధమైన ఎక్జిక్యూటబుల్, అవి 'identity_helper.exe' లేదా 'vmnat.exe.' DLL సైడ్-లోడింగ్ సాంకేతికత ద్వారా JanelaRAT పేలోడ్ను ప్రారంభించేందుకు ఈ ఎక్జిక్యూటబుల్లు ఉపయోగించబడతాయి.
JanelaRAT స్వయంగా స్ట్రింగ్ ఎన్క్రిప్షన్ను కలిగి ఉంటుంది మరియు అవసరమైనప్పుడు నిష్క్రియ స్థితికి మారగల సామర్థ్యాన్ని కలిగి ఉంటుంది. ఈ కార్యాచరణ విశ్లేషణ మరియు గుర్తింపును తప్పించుకోవడంలో సహాయపడుతుంది. JanelaRAT BX RAT యొక్క గణనీయంగా సవరించబడిన సంస్కరణను సూచిస్తుంది, ఇది హానికరమైన ముప్పును 2014లో గుర్తించబడింది.
JanelaRAT ఇన్వాసివ్ సామర్థ్యాల ప్రత్యేక జాబితాను కలిగి ఉంది
ట్రోజన్లో చేర్చబడిన కొత్త బెదిరింపు ఫంక్షన్లలో విండో టైటిల్లను స్వాధీనం చేసుకోవడం మరియు వాటిని ముప్పు నటులకు ప్రసారం చేయగల సామర్థ్యం ఉంది. ఏది ఏమైనప్పటికీ, JanelaRAT మొదట కొత్తగా రాజీపడిన హోస్ట్ మరియు దాడి ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ మధ్య కమ్యూనికేషన్ను ఏర్పాటు చేస్తుంది. JanelaRAT మౌస్ ఇన్పుట్లను పర్యవేక్షించడం, కీస్ట్రోక్లను రికార్డ్ చేయడం, స్క్రీన్షాట్లను క్యాప్చర్ చేయడం మరియు సిస్టమ్ మెటాడేటాను సేకరించడం వంటి అదనపు కార్యాచరణలను కూడా కలిగి ఉంది.
అయినప్పటికీ, పరిశోధకుల అభిప్రాయం ప్రకారం, JanelaRATలో గమనించిన లక్షణాల శ్రేణి BX RAT అందించే ఉపసమితి మాత్రమే. స్పష్టంగా, JanelaRAT డెవలపర్లు షెల్ ఆదేశాలను అమలు చేయడం, ఫైల్లను మార్చడం లేదా ప్రక్రియలను నిర్వహించడం కోసం ఎలాంటి కార్యాచరణలను చేర్చకూడదని ఎంచుకున్నారు.
సోర్స్ కోడ్ను క్షుణ్ణంగా పరిశీలించడం ద్వారా పోర్చుగీస్లో అనేక స్ట్రింగ్ల ఉనికిని ఆవిష్కరించారు, ముప్పు సృష్టికర్తలకు ఈ నిర్దిష్ట భాష బాగా తెలిసి ఉండే అవకాశం ఉంది. అదనంగా, లాటిన్ అమెరికా (LATAM) ప్రాంతానికి కనెక్షన్లు బ్యాంకింగ్ మరియు వికేంద్రీకృత ఆర్థిక రంగాలలో క్రియాశీలంగా ఉన్న సంస్థలకు సంబంధించిన సూచనలలో కనుగొనబడ్డాయి. జానెలారాట్తో అనుబంధించబడిన VBScript చిలీ, కొలంబియా మరియు మెక్సికోలలో గుర్తించబడుతుందనే వాస్తవం కూడా ఉంది.