JanelaRAT มัลแวร์

ภัยคุกคามจากมัลแวร์ที่ไม่รู้จักก่อนหน้านี้ถูกติดตามในชื่อ JanelaRAT ซึ่งเป็นมัลแวร์ทางการเงิน ซึ่งได้รับการบันทึกโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ว่ามีเป้าหมายที่บุคคลในภูมิภาคละตินอเมริกา (LATAM) ซอฟต์แวร์คุกคามนี้มีความสามารถในการดึงข้อมูลที่ละเอียดอ่อนจากระบบที่ใช้ Windows ซึ่งถูกบุกรุก

JanelaRAT มุ่งเน้นไปที่การได้มาซึ่งข้อมูลทางการเงินและสกุลเงินดิจิทัลสำหรับธนาคารและสถาบันการเงินที่ดำเนินงานภายใน LATAM มัลแวร์ใช้วิธีโหลดด้านข้าง DLL ซึ่งมาจากหน่วยงานที่ถูกต้อง เช่น VMWare และ Microsoft เทคนิคนี้ช่วยให้ JanelaRAT หลีกเลี่ยงการตรวจจับโดยมาตรการรักษาความปลอดภัยปลายทาง

ห่วงโซ่การติดเชื้อของมัลแวร์ JanelaRAT

จุดเริ่มต้นที่แน่นอนของห่วงโซ่การติดเชื้อยังไม่ได้รับการยืนยัน อย่างไรก็ตาม นักวิจัยด้านความปลอดภัยในโลกไซเบอร์ที่ระบุแคมเปญในเดือนมิถุนายน 2023 ได้รายงานว่ามีการใช้วิธีการที่ไม่รู้จักเพื่อแนะนำไฟล์เก็บถาวร ZIP ที่มี Visual Basic Script

VBScript ได้รับการออกแบบมาอย่างพิถีพิถันเพื่อดึงไฟล์ ZIP ไฟล์ที่สองจากเซิร์ฟเวอร์ของผู้โจมตี นอกจากนี้ยังปล่อยแบตช์ไฟล์ที่ทำหน้าที่สร้างกลไกการคงอยู่ของมัลแวร์บนระบบที่ถูกบุกรุก

ภายในไฟล์เก็บถาวร ZIP ส่วนประกอบหลักสองส่วนถูกรวมเข้าด้วยกัน: เพย์โหลด JanelaRAT และไฟล์เรียกทำงานที่ถูกต้อง ซึ่งได้แก่ 'identity_helper.exe' หรือ 'vmnat.exe' โปรแกรมปฏิบัติการเหล่านี้ใช้เพื่อเปิดใช้งานเพย์โหลด JanelaRAT ผ่านเทคนิคการโหลดด้านข้างของ DLL

JanelaRAT เองใช้การเข้ารหัสสตริงและมีความสามารถในการเปลี่ยนเป็นสถานะไม่ได้ใช้งานเมื่อจำเป็น ฟังก์ชันนี้ช่วยในการหลีกเลี่ยงการวิเคราะห์และการตรวจจับ JanelaRAT เป็นตัวแทนของ BX RAT เวอร์ชันที่ได้รับการดัดแปลงอย่างมาก ซึ่งเป็นภัยคุกคามที่เป็นอันตรายซึ่งถูกระบุครั้งแรกในปี 2014

JanelaRAT มีรายการความสามารถพิเศษในการรุกราน

ฟังก์ชันการคุกคามใหม่ที่รวมอยู่ในโทรจันคือความสามารถในการยึดชื่อหน้าต่างและส่งต่อไปยังผู้คุกคาม อย่างไรก็ตาม JanelaRAT จะสร้างการสื่อสารระหว่างโฮสต์ที่เพิ่งถูกบุกรุกและเซิร์ฟเวอร์ Command-and-Control (C2) ของการดำเนินการโจมตีก่อน JanelaRAT ยังมีฟังก์ชันเพิ่มเติม เช่น ความสามารถในการตรวจสอบการป้อนข้อมูลของเมาส์ บันทึกการกดแป้นพิมพ์ จับภาพหน้าจอ และรวบรวมข้อมูลเมตาของระบบ

อย่างไรก็ตาม จากข้อมูลของนักวิจัย คุณลักษณะต่างๆ ที่พบใน JanelaRAT เป็นเพียงส่วนย่อยของสิ่งที่ BX RAT นำเสนอ เห็นได้ชัดว่าผู้พัฒนา JanelaRAT เลือกที่จะไม่รวมฟังก์ชันการทำงานใดๆ สำหรับการดำเนินการคำสั่งเชลล์ การจัดการไฟล์ หรือการจัดการกระบวนการต่างๆ

การตรวจสอบซอร์สโค้ดอย่างละเอียดทำให้พบว่ามีสตริงต่างๆ ในภาษาโปรตุเกส ซึ่งบ่งชี้ถึงความเป็นไปได้ที่ผู้สร้างภัยคุกคามจะคุ้นเคยกับภาษานี้โดยเฉพาะ นอกจากนี้ การเชื่อมต่อกับภูมิภาคละตินอเมริกา (LATAM) ยังพบได้ในการอ้างอิงถึงหน่วยงานที่ใช้งานอยู่ในภาคการเงินการธนาคารและการกระจายอำนาจ นอกจากนี้ยังมีความจริงที่ว่า VBScript ที่เกี่ยวข้องกับ JanelaRAT สามารถโยงไปถึงชิลี โคลอมเบีย และเม็กซิโก