JanelaRAT rosszindulatú program

A kiberbiztonsági szakértők egy korábban ismeretlen kártevő-fenyegetést, JanelaRAT néven nyomon követett pénzügyi kártevőt rögzítettek, amely a latin-amerikai (LATAM) régión belüli személyeket célozza meg. Ez a fenyegető szoftver képes érzékeny adatokat kinyerni a feltört Windows-alapú rendszerekről.

A JanelaRAT elsősorban a LATAM-on belül működő bankok és pénzügyi intézmények pénzügyi és kriptovalutákkal kapcsolatos információk megszerzésére irányul. A rosszindulatú program olyan DLL oldalsó betöltési módszereket alkalmaz, amelyek olyan legitim entitásoktól származnak, mint a VMWare és a Microsoft. Ez a technika lehetővé teszi a JanelaRAT számára, hogy elkerülje a végpont biztonsági intézkedései általi észlelést.

A JanelaRAT malware fertőzési lánca

A fertőzési lánc pontos kezdőpontját egyelőre nem erősítették meg. A kampányt 2023 júniusában azonosító kiberbiztonsági kutatók azonban arról számoltak be, hogy egy ismeretlen módszert alkalmaznak egy Visual Basic Scriptet tartalmazó ZIP archív fájl bevezetésére.

A VBScriptet aprólékosan úgy alakították ki, hogy lekérjen egy második ZIP-archívumot a támadók szerveréről. Ezenkívül eldob egy kötegfájlt, amely azt a célt szolgálja, hogy létrehozza a rosszindulatú program fennmaradási mechanizmusát a feltört rendszeren.

A ZIP-archívumban két kulcsfontosságú összetevő van összecsomagolva: a JanelaRAT hasznos adata és egy legitim végrehajtható fájl, nevezetesen az „identity_helper.exe” vagy a „vmnat.exe”. Ezeket a végrehajtható fájlokat a JanelaRAT hasznos terhelés elindítására használják a DLL oldalbetöltés technikájával.

A JanelaRAT maga is tartalmaz karakterlánc-titkosítást, és szükség esetén készenléti állapotba válthat át. Ez a funkció segít elkerülni az elemzést és az észlelést. A JanelaRAT a BX RAT jelentősen módosított változata, egy káros fenyegetés, amelyet eredetileg 2014-ben azonosítottak.

A JanelaRAT rendelkezik az invazív képességek speciális listájával

A trójai új fenyegető funkciók közé tartozik az ablakcímek lefoglalására és a fenyegetés szereplőinek továbbítására való képessége. A JanelaRAT azonban először létrehozza a kommunikációt az újonnan feltört gazdagép és a támadási művelet Command-and-Control (C2) szervere között. A JanelaRAT további funkciókkal is büszkélkedhet, beleértve az egérbemenetek figyelését, a billentyűleütések rögzítését, a képernyőképek rögzítését és a rendszer metaadatainak gyűjtését.

A kutatók szerint azonban a JanelaRAT-on belül megfigyelt jellemzők tömbje csak egy részhalmaza annak, amit a BX RAT kínál. Úgy tűnik, a JanelaRAT fejlesztői úgy döntöttek, hogy nem tartalmaznak semmilyen funkciót a shell-parancsok végrehajtásához, a fájlok kezeléséhez vagy a folyamatok kezeléséhez.

A forráskód alapos vizsgálata több portugál nyelvű karakterlánc jelenlétét is feltárta, ami arra utal, hogy a fenyegetés alkotói ismerik ezt a nyelvet. Ezen túlmenően a latin-amerikai (LATAM) régióval való kapcsolatok a banki és a decentralizált pénzügyi szektorban tevékenykedő entitásokra utalnak. Az is tény, hogy a JanelaRAT-hoz kapcsolódó VBScript Chilében, Kolumbiában és Mexikóban vezethető vissza.