JanelaRAT ਮਾਲਵੇਅਰ
ਜੈਨੇਲਾਆਰਟ, ਇੱਕ ਵਿੱਤੀ ਮਾਲਵੇਅਰ ਦੇ ਤੌਰ 'ਤੇ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਇੱਕ ਪਹਿਲਾਂ ਅਗਿਆਤ ਮਾਲਵੇਅਰ ਖ਼ਤਰਾ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਦੁਆਰਾ ਲਾਤੀਨੀ ਅਮਰੀਕਾ (LATAM) ਖੇਤਰ ਵਿੱਚ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਰਿਕਾਰਡ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਸੌਫਟਵੇਅਰ ਵਿੰਡੋਜ਼-ਅਧਾਰਿਤ ਸਿਸਟਮਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਹੈ ਜਿਨ੍ਹਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ।
JanelaRAT ਮੁੱਖ ਤੌਰ 'ਤੇ LATAM ਦੇ ਅੰਦਰ ਕੰਮ ਕਰ ਰਹੇ ਬੈਂਕਾਂ ਅਤੇ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਲਈ ਵਿੱਤੀ ਅਤੇ ਕ੍ਰਿਪਟੋਕਰੰਸੀ-ਸਬੰਧਤ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਵੱਲ ਸੇਧਿਤ ਹੈ। ਮਾਲਵੇਅਰ VMWare ਅਤੇ Microsoft ਵਰਗੀਆਂ ਜਾਇਜ਼ ਇਕਾਈਆਂ ਤੋਂ ਪ੍ਰਾਪਤ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਵਿਧੀਆਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਇਹ ਤਕਨੀਕ ਜੈਨੇਲਾਆਰਟ ਨੂੰ ਅੰਤਮ ਬਿੰਦੂ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।
ਜੈਨੇਲਾਆਰਟ ਮਾਲਵੇਅਰ ਦੀ ਲਾਗ ਚੇਨ
ਸੰਕਰਮਣ ਲੜੀ ਦੇ ਸਹੀ ਸ਼ੁਰੂਆਤੀ ਬਿੰਦੂ ਦੀ ਅਜੇ ਤੱਕ ਪੁਸ਼ਟੀ ਨਹੀਂ ਹੋਈ ਹੈ। ਹਾਲਾਂਕਿ, ਜੂਨ 2023 ਵਿੱਚ ਮੁਹਿੰਮ ਦੀ ਪਛਾਣ ਕਰਨ ਵਾਲੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਰਿਪੋਰਟ ਦਿੱਤੀ ਹੈ ਕਿ ਇੱਕ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟ ਵਾਲੀ ਜ਼ਿਪ ਆਰਕਾਈਵ ਫਾਈਲ ਨੂੰ ਪੇਸ਼ ਕਰਨ ਲਈ ਇੱਕ ਅਣਜਾਣ ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
VBScript ਨੂੰ ਹਮਲਾਵਰਾਂ ਦੇ ਸਰਵਰ ਤੋਂ ਦੂਜੀ ਜ਼ਿਪ ਆਰਕਾਈਵ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਸਾਵਧਾਨੀ ਨਾਲ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਇੱਕ ਬੈਚ ਫਾਈਲ ਨੂੰ ਛੱਡਦਾ ਹੈ ਜੋ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ 'ਤੇ ਮਾਲਵੇਅਰ ਦੇ ਸਥਿਰਤਾ ਵਿਧੀ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ।
ਜ਼ਿਪ ਆਰਕਾਈਵ ਦੇ ਅੰਦਰ, ਦੋ ਮੁੱਖ ਭਾਗ ਇਕੱਠੇ ਬੰਡਲ ਕੀਤੇ ਗਏ ਹਨ: ਜੈਨੇਲਾਆਰਏਟੀ ਪੇਲੋਡ ਅਤੇ ਇੱਕ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ, ਅਰਥਾਤ 'identity_helper.exe' ਜਾਂ 'vmnat.exe।' ਇਹ ਐਗਜ਼ੀਕਿਊਟੇਬਲ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੀ ਤਕਨੀਕ ਰਾਹੀਂ ਜੈਨੇਲਾਆਰਟ ਪੇਲੋਡ ਨੂੰ ਲਾਂਚ ਕਰਨ ਲਈ ਨਿਯੁਕਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
JanelaRAT ਆਪਣੇ ਆਪ ਵਿੱਚ ਸਟ੍ਰਿੰਗ ਐਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ ਅਤੇ ਲੋੜ ਪੈਣ 'ਤੇ ਇੱਕ ਨਿਸ਼ਕਿਰਿਆ ਸਥਿਤੀ ਵਿੱਚ ਤਬਦੀਲ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਹੈ। ਇਹ ਕਾਰਜਕੁਸ਼ਲਤਾ ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਖੋਜ ਨੂੰ ਦੂਰ ਕਰਨ ਵਿੱਚ ਸਹਾਇਤਾ ਕਰਦੀ ਹੈ। JanelaRAT BX RAT ਦੇ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਰੂਪ ਵਿੱਚ ਸੋਧੇ ਹੋਏ ਸੰਸਕਰਣ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਇੱਕ ਹਾਨੀਕਾਰਕ ਖ਼ਤਰਾ ਜਿਸਦੀ ਸ਼ੁਰੂਆਤ ਵਿੱਚ 2014 ਵਿੱਚ ਪਛਾਣ ਕੀਤੀ ਗਈ ਸੀ।
ਜੈਨੇਲਾਆਰਟ ਦੇ ਕੋਲ ਹਮਲਾਵਰ ਸਮਰੱਥਾਵਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਸੂਚੀ ਹੈ
ਟਰੋਜਨ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੇ ਗਏ ਨਵੇਂ ਧਮਕਾਉਣ ਵਾਲੇ ਫੰਕਸ਼ਨਾਂ ਵਿੱਚ ਵਿੰਡੋ ਸਿਰਲੇਖਾਂ ਨੂੰ ਜ਼ਬਤ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਤੱਕ ਪਹੁੰਚਾਉਣ ਦੀ ਸਮਰੱਥਾ ਹੈ। ਹਾਲਾਂਕਿ, ਜੈਨੇਲਾਆਰਟ ਪਹਿਲਾਂ ਨਵੇਂ ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟ ਅਤੇ ਹਮਲੇ ਦੀ ਕਾਰਵਾਈ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਵਿਚਕਾਰ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। JanelaRAT ਮਾਊਸ ਇਨਪੁਟਸ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ, ਕੀਸਟ੍ਰੋਕ ਰਿਕਾਰਡ ਕਰਨ, ਸਕ੍ਰੀਨਸ਼ੌਟਸ ਕੈਪਚਰ ਕਰਨ ਅਤੇ ਸਿਸਟਮ ਮੈਟਾਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਦੀ ਯੋਗਤਾ ਸਮੇਤ ਵਾਧੂ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਦਾ ਵੀ ਮਾਣ ਕਰਦਾ ਹੈ।
ਹਾਲਾਂਕਿ, ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ, ਜੈਨੇਲਾਆਰਏਟ ਦੇ ਅੰਦਰ ਵੇਖੀਆਂ ਗਈਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਲੜੀ BX RAT ਦੀ ਪੇਸ਼ਕਸ਼ ਦਾ ਇੱਕ ਉਪ ਸਮੂਹ ਹੈ। ਜ਼ਾਹਰਾ ਤੌਰ 'ਤੇ, JanelaRAT ਦੇ ਡਿਵੈਲਪਰਾਂ ਨੇ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਫਾਈਲਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ, ਜਾਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਲਈ ਕਿਸੇ ਵੀ ਕਾਰਜਸ਼ੀਲਤਾ ਨੂੰ ਸ਼ਾਮਲ ਨਾ ਕਰਨ ਦੀ ਚੋਣ ਕੀਤੀ।
ਸਰੋਤ ਕੋਡ ਦੀ ਪੂਰੀ ਜਾਂਚ ਨੇ ਪੁਰਤਗਾਲੀ ਵਿੱਚ ਕਈ ਸਤਰਾਂ ਦੀ ਮੌਜੂਦਗੀ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜੋ ਇਸ ਸੰਭਾਵਨਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇ ਨਿਰਮਾਤਾ ਇਸ ਵਿਸ਼ੇਸ਼ ਭਾਸ਼ਾ ਤੋਂ ਜਾਣੂ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਲਾਤੀਨੀ ਅਮਰੀਕਾ (LATAM) ਖੇਤਰ ਨਾਲ ਸਬੰਧ ਬੈਂਕਿੰਗ ਅਤੇ ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਵਿੱਤ ਖੇਤਰਾਂ ਵਿੱਚ ਸਰਗਰਮ ਇਕਾਈਆਂ ਦੇ ਸੰਦਰਭ ਵਿੱਚ ਪਾਏ ਜਾਂਦੇ ਹਨ। ਇਹ ਤੱਥ ਵੀ ਹੈ ਕਿ ਜੈਨੇਲਾਆਰਏਟੀ ਨਾਲ ਜੁੜੀ VBScript ਚਿਲੀ, ਕੋਲੰਬੀਆ ਅਤੇ ਮੈਕਸੀਕੋ ਵਿੱਚ ਲੱਭੀ ਜਾ ਸਕਦੀ ਹੈ।
