Malware JanelaRAT

Ancaman perisian hasad yang tidak diketahui sebelum ini dikesan sebagai JanelaRAT, perisian hasad kewangan, telah direkodkan oleh pakar keselamatan siber untuk menyasarkan individu dalam rantau Amerika Latin (LATAM). Perisian yang mengancam ini mempunyai keupayaan untuk mengekstrak data sensitif daripada sistem berasaskan Windows yang telah dikompromi.

JanelaRAT ditujukan terutamanya untuk memperoleh maklumat berkaitan kewangan dan mata wang kripto untuk bank dan institusi kewangan yang beroperasi dalam LATAM. Malware menggunakan kaedah pemuatan sisi DLL yang diperoleh daripada entiti yang sah seperti VMWare dan Microsoft. Teknik ini membolehkan JanelaRAT mengelakkan pengesanan oleh langkah keselamatan titik akhir.

Rantaian Jangkitan Malware JanelaRAT

Titik awal sebenar rantaian jangkitan belum disahkan setakat ini. Walau bagaimanapun, penyelidik keselamatan siber yang mengenal pasti kempen pada Jun 2023 telah melaporkan bahawa kaedah yang tidak diketahui digunakan untuk memperkenalkan fail arkib ZIP yang mengandungi Skrip Visual Basic.

VBScript telah direka dengan teliti untuk mendapatkan semula arkib ZIP kedua daripada pelayan penyerang. Selain itu, ia menjatuhkan fail kelompok yang berfungsi untuk mewujudkan mekanisme kegigihan perisian hasad pada sistem yang terjejas.

Dalam arkib ZIP, dua komponen utama digabungkan bersama: muatan JanelaRAT dan boleh laku yang sah, iaitu 'identity_helper.exe' atau 'vmnat.exe.' Boleh laku ini digunakan untuk melancarkan muatan JanelaRAT melalui teknik pemuatan sisi DLL.

JanelaRAT sendiri menggabungkan penyulitan rentetan dan mempunyai keupayaan untuk beralih ke keadaan terbiar apabila perlu. Fungsi ini membantu dalam mengelakkan analisis dan pengesanan. JanelaRAT mewakili versi BX RAT yang diubah suai dengan ketara, ancaman berbahaya yang pada mulanya dikenal pasti pada tahun 2014.

JanelaRAT Mempunyai Senarai Khas Keupayaan Invasif

Antara fungsi ancaman baharu yang dimasukkan ke dalam Trojan ialah keupayaannya untuk merampas tajuk tetingkap dan menghantarnya kepada pelakon ancaman. Walau bagaimanapun, JanelaRAT mula-mula mewujudkan komunikasi antara hos yang baru dikompromi dan pelayan Perintah-dan-Kawalan (C2) bagi operasi serangan. JanelaRAT juga mempunyai fungsi tambahan, termasuk keupayaan untuk memantau input tetikus, merekod ketukan kekunci, menangkap tangkapan skrin dan mengumpulkan metadata sistem.

Walau bagaimanapun, menurut penyelidik, pelbagai ciri yang diperhatikan dalam JanelaRAT hanyalah subset daripada apa yang ditawarkan oleh BX RAT. Nampaknya, pembangun JanelaRAT memilih untuk tidak memasukkan sebarang fungsi untuk melaksanakan perintah shell, memanipulasi fail atau mengurus proses.

Pemeriksaan menyeluruh terhadap kod sumber telah mendedahkan kehadiran beberapa rentetan dalam bahasa Portugis, menunjukkan kemungkinan bahawa pencipta ancaman itu biasa dengan bahasa khusus ini. Selain itu, sambungan ke rantau Amerika Latin (LATAM) ditemui dalam rujukan kepada entiti yang aktif dalam sektor perbankan dan kewangan terpencar. Terdapat juga fakta bahawa VBScript yang dikaitkan dengan JanelaRAT boleh dikesan ke Chile, Colombia dan Mexico.