JanelaRAT kenkėjiška programa

Kibernetinio saugumo specialistai užfiksavo anksčiau nežinomą kenkėjiškų programų grėsmę, pažymėtą kaip JanelaRAT, finansinę kenkėjišką programą, kuri yra skirta asmenims Lotynų Amerikos (LATAM) regione. Ši grėsminga programinė įranga turi galimybę išgauti neskelbtinus duomenis iš pažeistų „Windows“ sistemų.

„JanelaRAT“ pirmiausia yra skirta finansinei ir su kriptovaliutomis susijusios informacijos bankams ir finansų įstaigoms, veikiančioms LATAM, įsigijimui. Kenkėjiška programinė įranga naudoja DLL šoninio įkėlimo metodus, gautus iš teisėtų subjektų, tokių kaip VMWare ir Microsoft. Ši technika leidžia „JanelaRAT“ išvengti aptikimo taikant galinio taško saugumo priemones.

„JanelaRAT“ kenkėjiškų programų infekcijos grandinė

Tikslus pradinis infekcijos grandinės taškas iki šiol nepatvirtintas. Tačiau 2023 m. birželio mėn. kampaniją nustatę kibernetinio saugumo tyrinėtojai pranešė, kad ZIP archyvo failui, kuriame yra „Visual Basic“ scenarijus, įvesti naudojamas nežinomas metodas.

VBScript buvo kruopščiai sukurtas taip, kad iš užpuoliko serverio gautų antrą ZIP archyvą. Be to, jis atmeta paketinį failą, kuris naudojamas siekiant nustatyti kenkėjiškų programų išlikimo mechanizmą pažeistoje sistemoje.

ZIP archyve du pagrindiniai komponentai yra sujungti: JanelaRAT naudingoji apkrova ir teisėtas vykdomasis failas, būtent „identity_helper.exe“ arba „vmnat.exe“. Šie vykdomieji failai naudojami JanelaRAT naudingajam kroviniui paleisti naudojant DLL šoninio įkėlimo techniką.

Pats „JanelaRAT“ apima eilučių šifravimą ir turi galimybę prireikus pereiti į neaktyvią būseną. Ši funkcija padeda išvengti analizės ir aptikimo. „JanelaRAT“ yra žymiai pakeista BX RAT versija – žalinga grėsmė, kuri iš pradžių buvo nustatyta 2014 m.

JanelaRAT turi specializuotą invazinių galimybių sąrašą

Tarp naujų grėsmę keliančių funkcijų, įtrauktų į Trojos arklys, yra jos galimybė užgrobti langų pavadinimus ir perduoti juos grėsmės veikėjams. Tačiau JanelaRAT pirmiausia užmezga ryšį tarp naujai pažeisto pagrindinio kompiuterio ir atakos operacijos komandų ir valdymo (C2) serverio. JanelaRAT taip pat gali pasigirti papildomomis funkcijomis, įskaitant galimybę stebėti pelės įvestis, įrašyti klavišų paspaudimus, fiksuoti ekrano kopijas ir rinkti sistemos metaduomenis.

Tačiau, pasak mokslininkų, JanelaRAT pastebėtų funkcijų masyvas yra tik dalis to, ką siūlo BX RAT. Matyt, JanelaRAT kūrėjai nusprendė neįtraukti jokių apvalkalo komandų vykdymo, failų manipuliavimo ar procesų valdymo funkcijų.

Išsamus šaltinio kodo tyrimas atskleidė, kad portugalų kalba yra keletas eilučių, kurios rodo galimybę, kad grėsmės kūrėjai yra susipažinę su šia kalba. Be to, sąsajos su Lotynų Amerikos (LATAM) regionu aptinkamos nuorodose į subjektus, veikiančius bankininkystės ir decentralizuotų finansų sektoriuose. Taip pat yra faktas, kad VBScript, susietas su JanelaRAT, gali būti atsektas Čilėje, Kolumbijoje ir Meksikoje.