Malware JanelaRAT

Els especialistes en ciberseguretat han registrat una amenaça de programari maliciós fins ara desconeguda com a JanelaRAT, un programari maliciós financer, que s'adreça a persones a la regió d'Amèrica Llatina (LATAM). Aquest programari amenaçador té la capacitat d'extreure dades sensibles de sistemes basats en Windows que s'han vist compromesos.

JanelaRAT es dirigeix principalment a l'adquisició d'informació financera i relacionada amb criptomoneda per a bancs i institucions financeres que operen a LATAM. El programari maliciós utilitza mètodes de càrrega lateral de DLL procedents d'entitats legítimes com VMWare i Microsoft. Aquesta tècnica permet a JanelaRAT evitar la detecció per les mesures de seguretat del punt final.

La cadena d'infecció del malware JanelaRAT

El punt inicial exacte de la cadena d'infecció no s'ha confirmat fins ara. Tanmateix, els investigadors de ciberseguretat que van identificar la campanya el juny de 2023 han informat que s'utilitza un mètode desconegut per introduir un fitxer d'arxiu ZIP que conté un script Visual Basic.

El VBScript s'ha dissenyat meticulosament per recuperar un segon arxiu ZIP del servidor dels atacants. A més, deixa caure un fitxer per lots que serveix per establir el mecanisme de persistència del programari maliciós al sistema compromès.

Dins de l'arxiu ZIP, s'agrupen dos components clau: la càrrega útil de JanelaRAT i un executable legítim, és a dir, "identity_helper.exe" o "vmnat.exe". Aquests executables s'utilitzen per llançar la càrrega útil JanelaRAT mitjançant la tècnica de càrrega lateral de DLL.

El mateix JanelaRAT incorpora xifratge de cadena i té la capacitat de passar a un estat inactiu quan sigui necessari. Aquesta funcionalitat ajuda a eludir l'anàlisi i la detecció. JanelaRAT representa una versió significativament modificada de BX RAT, una amenaça nociva que es va identificar inicialment el 2014.

JanelaRAT posseeix una llista especialitzada de capacitats invasives

Entre les noves funcions amenaçadores incorporades al troià hi ha la seva capacitat d'apoderar-se de títols de finestres i transmetre'ls als actors de l'amenaça. Tanmateix, JanelaRAT estableix primer la comunicació entre l'amfitrió recentment compromès i el servidor de comandament i control (C2) de l'operació d'atac. JanelaRAT també compta amb funcionalitats addicionals, com ara la capacitat de supervisar les entrades del ratolí, registrar les pulsacions de tecles, capturar captures de pantalla i recopilar metadades del sistema.

Tanmateix, segons els investigadors, la varietat de característiques observades a JanelaRAT és només un subconjunt del que ofereix BX RAT. Pel que sembla, els desenvolupadors de JanelaRAT van optar per no incloure cap funcionalitat per executar ordres de shell, manipular fitxers o gestionar processos.

Un examen exhaustiu del codi font ha revelat la presència de diverses cadenes en portuguès, la qual cosa indica la possibilitat que els creadors de l'amenaça estiguin familiaritzats amb aquest idioma en particular. A més, les connexions amb la regió Llatinoamèrica (LATAM) es troben en referències a entitats actives en els sectors bancari i financer descentralitzat. També hi ha el fet que el VBScript associat a JanelaRAT es podria localitzar a Xile, Colòmbia i Mèxic.