JanelaRAT 惡意軟件

Malware, Remote Administration Tools 年Mezo年

翻譯為：

網絡安全專家已記錄到一種以前未知的惡意軟件威脅，被追踪為 JanelaRAT（一種金融惡意軟件），其目標是拉丁美洲 (LATAM) 地區的個人。這種威脅軟件能夠從已受到損害的基於 Windows 的系統中提取敏感數據。

JanelaRAT 主要旨在為拉丁美洲境內運營的銀行和金融機構獲取金融和加密貨幣相關信息。該惡意軟件採用來自 VMWare 和 Microsoft 等合法實體的 DLL 側面加載方法。該技術允許 JanelaRAT 避免端點安全措施的檢測。

目前，感染鏈的確切起始點尚未得到證實。然而，2023 年 6 月發現該活動的網絡安全研究人員報告稱，該活動使用了一種未知方法來引入包含 Visual Basic 腳本的 ZIP 存檔文件。

VBScript 經過精心設計，可以從攻擊者的服務器檢索第二個 ZIP 存檔。此外，它還會刪除一個批處理文件，該文件的目的是在受感染的系統上建立惡意軟件的持久性機制。

在 ZIP 存檔中，兩個關鍵組件捆綁在一起：JanelaRAT 有效負載和合法的可執行文件，即“identity_helper.exe”或“vmnat.exe”。這些可執行文件用於通過 DLL 側面加載技術啟動 JanelaRAT 有效負載。

JanelaRAT 本身結合了字符串加密，並具有在必要時轉換到空閒狀態的能力。此功能有助於逃避分析和檢測。 JanelaRAT 是 BX RAT 的重大修改版本，BX RAT 是一種有害威脅，最初於 2014 年被發現。

該特洛伊木馬的新威脅功能之一是它能夠捕獲窗口標題並將其傳輸給威脅行為者。然而，JanelaRAT 首先在新受感染的主機和攻擊操作的命令與控制 (C2) 服務器之間建立通信。 JanelaRAT 還擁有額外的功能，包括監控鼠標輸入、記錄擊鍵、捕獲屏幕截圖和收集系統元數據的能力。

然而，研究人員表示，JanelaRAT 中觀察到的一系列功能只是 BX RAT 提供的功能的一個子集。顯然，JanelaRAT 的開發人員選擇不包含任何執行 shell 命令、操作文件或管理進程的功能。

對源代碼的徹底檢查發現存在多個葡萄牙語字符串，這表明威脅的創建者可能熟悉這種特定語言。此外，在活躍於銀行和去中心化金融領域的實體的參考文獻中也發現了與拉丁美洲（LATAM）地區的聯繫。還有一個事實是，與 JanelaRAT 相關的 VBScript 可以追溯到智利、哥倫比亞和墨西哥。

搜索