JanelaRAT pahavara

Küberjulgeoleku spetsialistid on registreerinud varem tundmatu pahavara ohu, mida jälgitakse kui finantspahavara JanelaRAT, et see sihiks Ladina-Ameerika (LATAM) regiooni üksikisikuid. See ähvardav tarkvara suudab välja võtta tundlikke andmeid Windowsi-põhistest süsteemidest, mis on ohustatud.

JanelaRAT on peamiselt suunatud finants- ja krüptorahaga seotud teabe hankimisele LATAM-is tegutsevatele pankadele ja finantsasutustele. Pahavara kasutab DLL-i külglaadimise meetodeid, mis pärinevad seaduslikelt üksustelt, nagu VMWare ja Microsoft. See meetod võimaldab JanelaRAT-il vältida lõpp-punkti turvameetmete tuvastamist.

JanelaRAT-i pahavara nakkusahel

Nakkusahela täpne algpunkt pole siiani kinnitatud. 2023. aasta juunis kampaania tuvastanud küberjulgeolekuteadlased on aga teatanud, et Visual Basic Scripti sisaldava ZIP-arhiivifaili tutvustamiseks kasutatakse tundmatut meetodit.

VBScript on hoolikalt välja töötatud, et hankida ründajate serverist teine ZIP-arhiiv. Lisaks loob see pakkfaili, mille eesmärk on luua ründevara püsivusmehhanism ohustatud süsteemis.

ZIP-arhiivis on kaks põhikomponenti kokku pandud: JanelaRAT-i kasulik koormus ja seaduslik käivitatav fail, nimelt identity_helper.exe või vmnat.exe. Neid käivitatavaid faile kasutatakse JanelaRAT-i kasuliku koormuse käivitamiseks DLL-i külglaadimise tehnika abil.

JanelaRAT ise sisaldab stringi krüptimist ja sellel on võimalus vajaduse korral jõudeolekusse üle minna. See funktsioon aitab analüüsist ja tuvastamisest kõrvale hiilida. JanelaRAT esindab oluliselt muudetud versiooni BX RAT-ist, kahjulikust ohust, mis tuvastati algselt 2014. aastal.

JanelaRATil on spetsiaalne invasiivsete võimete loend

Troojasse lisatud uute ähvardavate funktsioonide hulgas on selle võime haarata akende pealkirju ja edastada need ohus osalejatele. Kuid JanelaRAT loob esmalt side äsja ohustatud hosti ja ründeoperatsiooni käsu- ja juhtimisserveri (C2) vahel. JanelaRATil on ka lisafunktsioonid, sealhulgas võimalus jälgida hiire sisendeid, salvestada klahvivajutusi, jäädvustada ekraanipilte ja koguda süsteemi metaandmeid.

Kuid teadlaste sõnul on JanelaRATis täheldatud funktsioonide hulk vaid alamhulk BX RAT-i pakutavast. Ilmselt otsustasid JanelaRATi arendajad mitte lisada mingeid funktsioone shellikäskude täitmiseks, failidega manipuleerimiseks või protsesside haldamiseks.

Lähtekoodi põhjalik uurimine on paljastanud mitme portugalikeelse stringi olemasolu, mis viitab võimalusele, et ohu loojad tunnevad seda konkreetset keelt. Lisaks leitakse seoseid Ladina-Ameerika (LATAM) piirkonnaga viidetes pangandus- ja detsentraliseeritud finantssektoris tegutsevatele üksustele. Samuti on tõsiasi, et JanelaRATiga seotud VBScripti saab jälgida Tšiilist, Colombiast ja Mehhikost.