Malware JanelaRAT

Dříve neznámá malwarová hrozba sledovaná jako JanelaRAT, finanční malware, byla zaznamenána specialisty na kybernetickou bezpečnost, která se zaměřuje na jednotlivce v regionu Latinské Ameriky (LATAM). Tento ohrožující software má schopnost extrahovat citlivá data ze systémů se systémem Windows, které byly kompromitovány.

JanelaRAT je primárně zaměřen na získávání finančních informací a informací souvisejících s kryptoměnami pro banky a finanční instituce působící v rámci LATAM. Malware využívá metody bočního načítání DLL pocházející od legitimních subjektů, jako jsou VMWare a Microsoft. Tato technika umožňuje společnosti JanelaRAT vyhnout se detekci pomocí opatření zabezpečení koncových bodů.

Infekční řetězec malwaru JanelaRAT

Přesný počáteční bod infekčního řetězce nebyl dosud potvrzen. Výzkumníci v oblasti kybernetické bezpečnosti, kteří kampaň identifikovali v červnu 2023, však oznámili, že k zavedení archivního souboru ZIP obsahujícího skript jazyka Visual Basic se používá neznámá metoda.

VBScript byl pečlivě vytvořen tak, aby získal druhý archiv ZIP ze serveru útočníků. Navíc zahodí dávkový soubor, který slouží k vytvoření mechanismu perzistence malwaru v napadeném systému.

V archivu ZIP jsou spojeny dvě klíčové komponenty: datová část JanelaRAT a legitimní spustitelný soubor, konkrétně 'identity_helper.exe' nebo 'vmnat.exe'. Tyto spustitelné soubory se používají ke spuštění užitečného zatížení JanelaRAT pomocí techniky bočního načítání DLL.

Samotný JanelaRAT obsahuje šifrování řetězců a v případě potřeby má schopnost přejít do klidového stavu. Tato funkce pomáhá uniknout analýze a detekci. JanelaRAT představuje výrazně upravenou verzi BX RAT, škodlivé hrozby, která byla původně identifikována již v roce 2014.

JanelaRAT vlastní specializovaný seznam invazivních schopností

Mezi nové ohrožující funkce začleněné do trojského koně patří jeho schopnost zmocnit se titulků oken a přenést je na aktéry ohrožení. JanelaRAT však nejprve naváže komunikaci mezi nově kompromitovaným hostitelem a serverem Command-and-Control (C2) útočné operace. JanelaRAT se také může pochlubit dalšími funkcemi, včetně schopnosti monitorovat vstupy myši, zaznamenávat stisknuté klávesy, pořizovat snímky obrazovky a shromažďovat systémová metadata.

Podle výzkumníků je však řada funkcí pozorovaných v rámci JanelaRAT jen podmnožinou toho, co BX RAT nabízí. Vývojáři JanelaRAT se zjevně rozhodli nezahrnout žádné funkce pro provádění příkazů shellu, manipulaci se soubory nebo správu procesů.

Důkladné prozkoumání zdrojového kódu odhalilo přítomnost několika řetězců v portugalštině, což naznačuje možnost, že tvůrci hrozby znají tento konkrétní jazyk. Navíc spojení s regionem Latinské Ameriky (LATAM) lze nalézt v odkazech na subjekty působící v bankovním a decentralizovaném finančním sektoru. Existuje také skutečnost, že VBScript spojený s JanelaRAT lze vysledovat do Chile, Kolumbie a Mexika.