JanelaRAT ļaunprātīga programmatūra

Kiberdrošības speciālisti ir reģistrējuši iepriekš nezināmu ļaunprogrammatūras draudu, kas izsekots kā JanelaRAT — finanšu ļaunprātīga programmatūra, kas vērsts pret personām Latīņamerikas (LATAM) reģionā. Šai draudīgajai programmatūrai ir iespēja iegūt sensitīvus datus no Windows sistēmām, kas ir apdraudētas.

JanelaRAT galvenokārt ir vērsts uz finanšu un ar kriptovalūtu saistītas informācijas iegūšanu bankām un finanšu iestādēm, kas darbojas LATAM ietvaros. Ļaunprātīgā programmatūra izmanto DLL sānu ielādes metodes, kas iegūtas no likumīgām organizācijām, piemēram, VMWare un Microsoft. Šis paņēmiens ļauj JanelaRAT izvairīties no noteikšanas, izmantojot galapunkta drošības pasākumus.

JanelaRAT ļaunprātīgas programmatūras infekcijas ķēde

Precīzs infekcijas ķēdes sākuma punkts līdz šim nav apstiprināts. Tomēr kiberdrošības pētnieki, kas 2023. gada jūnijā identificēja kampaņu, ir ziņojuši, ka tiek izmantota nezināma metode, lai ieviestu ZIP arhīva failu, kas satur Visual Basic skriptu.

VBScript ir rūpīgi izstrādāts, lai no uzbrucēja servera izgūtu otru ZIP arhīvu. Turklāt tas noņem pakešfailu, kas kalpo, lai izveidotu ļaunprātīgas programmatūras noturības mehānismu uzlauztajā sistēmā.

ZIP arhīvā divi galvenie komponenti ir apvienoti kopā: JanelaRAT lietderīgā slodze un likumīgs izpildāmais fails, proti, "identity_helper.exe" vai "vmnat.exe". Šie izpildāmie faili tiek izmantoti, lai palaistu JanelaRAT lietderīgo slodzi, izmantojot DLL sānu ielādes tehniku.

Pats JanelaRAT ietver virkņu šifrēšanu, un tam ir iespēja vajadzības gadījumā pāriet uz dīkstāves stāvokli. Šī funkcionalitāte palīdz izvairīties no analīzes un noteikšanas. JanelaRAT ir ievērojami pārveidota BX RAT versija, kas ir kaitīgs drauds, kas sākotnēji tika identificēts 2014. gadā.

JanelaRAT ir specializēts invazīvo spēju saraksts

Viena no Trojas zirgā iekļautajām jaunajām draudošajām funkcijām ir tā spēja konfiscēt logu nosaukumus un nosūtīt tos apdraudējuma dalībniekiem. Tomēr JanelaRAT vispirms izveido saziņu starp tikko apdraudēto resursdatoru un uzbrukuma operācijas Command-and-Control (C2) serveri. JanelaRAT piedāvā arī papildu funkcijas, tostarp iespēju pārraudzīt peles ievadi, ierakstīt taustiņsitienus, tvert ekrānuzņēmumus un apkopot sistēmas metadatus.

Tomēr, pēc pētnieku domām, JanelaRAT novēroto funkciju klāsts ir tikai BX RAT piedāvātā apakškopa. Acīmredzot JanelaRAT izstrādātāji izvēlējās neiekļaut nekādas čaulas komandu izpildes, failu manipulācijas vai procesu pārvaldības funkcijas.

Rūpīga pirmkoda pārbaude atklāja, ka portugāļu valodā ir vairākas virknes, kas norāda uz iespēju, ka draudu radītāji zina šo konkrēto valodu. Turklāt saiknes ar Latīņamerikas (LATAM) reģionu ir atrodamas atsaucēs uz struktūrām, kas darbojas banku un decentralizēto finanšu sektorā. Ir arī fakts, ka ar JanelaRAT saistīto VBScript var izsekot Čīlē, Kolumbijā un Meksikā.