JanelaRAT Malware

Stručnjaci za kibernetičku sigurnost zabilježili su prethodno nepoznatu prijetnju zlonamjernim softverom praćenu kao JanelaRAT, financijski zlonamjerni softver, koji cilja pojedince u regiji Latinske Amerike (LATAM). Ovaj prijeteći softver ima mogućnost izvlačenja osjetljivih podataka iz sustava temeljenih na sustavu Windows koji su bili ugroženi.

JanelaRAT je prvenstveno usmjerena na prikupljanje financijskih informacija i informacija vezanih uz kriptovalute za banke i financijske institucije koje posluju unutar LATAM-a. Zlonamjerni softver koristi metode bočnog učitavanja DLL-a koje potječu od legitimnih entiteta kao što su VMWare i Microsoft. Ova tehnika omogućuje JanelaRAT-u da izbjegne otkrivanje sigurnosnim mjerama krajnje točke.

Lanac infekcije zlonamjernog softvera JanelaRAT

Točna početna točka lanca infekcije do sada nije potvrđena. Međutim, istraživači kibernetičke sigurnosti koji su identificirali kampanju u lipnju 2023. izvijestili su da se nepoznata metoda koristi za uvođenje ZIP arhivske datoteke koja sadrži Visual Basic skriptu.

VBScript je pomno izrađen za dohvaćanje druge ZIP arhive s poslužitelja napadača. Osim toga, ispušta batch datoteku koja služi u svrhu uspostavljanja mehanizma postojanosti zlonamjernog softvera na ugroženom sustavu.

Unutar ZIP arhive, dvije ključne komponente su spojene zajedno: JanelaRAT korisni teret i legitimna izvršna datoteka, naime 'identity_helper.exe' ili 'vmnat.exe.' Ove se izvršne datoteke koriste za pokretanje JanelaRAT korisnog opterećenja tehnikom bočnog učitavanja DLL-a.

Sam JanelaRAT uključuje enkripciju niza i posjeduje mogućnost prelaska u stanje mirovanja kada je to potrebno. Ova funkcionalnost pomaže u izbjegavanju analize i otkrivanja. JanelaRAT predstavlja znatno modificiranu verziju BX RAT-a, štetne prijetnje koja je prvobitno identificirana još 2014. godine.

JanelaRAT posjeduje specijalizirani popis invazivnih sposobnosti

Među novim prijetećim funkcijama uključenim u trojanac je njegova sposobnost preuzimanja naslova prozora i njihovog prijenosa akterima prijetnje. Međutim, JanelaRAT prvo uspostavlja komunikaciju između novokompromitiranog hosta i Command-and-Control (C2) poslužitelja operacije napada. JanelaRAT se također može pohvaliti dodatnim funkcijama, uključujući mogućnost praćenja unosa mišem, snimanja pritisaka na tipke, snimanja snimaka zaslona i prikupljanja metapodataka sustava.

Međutim, prema istraživačima, niz značajki promatranih unutar JanelaRAT-a samo je podskup onoga što nudi BX RAT. Očigledno, programeri JanelaRAT-a odlučili su ne uključiti nikakve funkcionalnosti za izvršavanje naredbi ljuske, manipuliranje datotekama ili upravljanje procesima.

Temeljito ispitivanje izvornog koda otkrilo je postojanje nekoliko nizova na portugalskom, što ukazuje na mogućnost da su kreatori prijetnje upoznati s ovim jezikom. Osim toga, veze s regijom Latinske Amerike (LATAM) nalaze se u referencama na subjekte aktivne u bankarskom i decentraliziranom financijskom sektoru. Također postoji činjenica da se VBScript povezan s JanelaRAT-om može pratiti do Čilea, Kolumbije i Meksika.