JanelaRAT-malware

Een voorheen onbekende malwaredreiging die werd gevolgd als JanelaRAT, een financiële malware, is door cyberbeveiligingsspecialisten geregistreerd om zich te richten op individuen in de regio Latijns-Amerika (LATAM). Deze bedreigende software heeft de mogelijkheid om gevoelige gegevens te extraheren van op Windows gebaseerde systemen die zijn gecompromitteerd.

JanelaRAT is voornamelijk gericht op het verkrijgen van financiële en cryptocurrency-gerelateerde informatie voor banken en financiële instellingen die binnen LATAM actief zijn. De malware maakt gebruik van DLL-side-loading-methoden die afkomstig zijn van legitieme entiteiten zoals VMWare en Microsoft. Met deze techniek kan JanelaRAT detectie door eindpuntbeveiligingsmaatregelen voorkomen.

De infectieketen van de JanelaRAT-malware

Het exacte beginpunt van de infectieketen is tot nu toe niet bevestigd. Cyberbeveiligingsonderzoekers die de campagne in juni 2023 hebben geïdentificeerd, hebben echter gemeld dat een onbekende methode wordt gebruikt om een ZIP-archiefbestand met een Visual Basic-script te introduceren.

Het VBScript is zorgvuldig ontworpen om een tweede ZIP-archief op te halen van de server van de aanvaller. Bovendien laat het een batchbestand vallen dat dient om het persistentiemechanisme van de malware op het gecompromitteerde systeem vast te stellen.

Binnen het ZIP-archief zijn twee belangrijke componenten gebundeld: de JanelaRAT-payload en een legitiem uitvoerbaar bestand, namelijk 'identity_helper.exe' of 'vmnat.exe'. Deze uitvoerbare bestanden worden gebruikt om de JanelaRAT-payload te starten via de techniek van DLL side-loading.

JanelaRAT zelf bevat stringcodering en heeft de mogelijkheid om indien nodig over te schakelen naar een inactieve toestand. Deze functionaliteit helpt bij het ontwijken van analyse en detectie. JanelaRAT vertegenwoordigt een aanzienlijk gewijzigde versie van BX RAT, een schadelijke dreiging die voor het eerst werd geïdentificeerd in 2014.

JanelaRAT beschikt over een gespecialiseerde lijst van invasieve mogelijkheden

Een van de nieuwe bedreigende functies die in de Trojan zijn opgenomen, is de mogelijkheid om venstertitels te grijpen en deze door te geven aan de bedreigingsactoren. JanelaRAT brengt echter eerst communicatie tot stand tussen de nieuw gecompromitteerde host en de Command-and-Control (C2)-server van de aanvalsoperatie. JanelaRAT beschikt ook over extra functionaliteiten, waaronder de mogelijkheid om muisinvoer te monitoren, toetsaanslagen op te nemen, schermafbeeldingen vast te leggen en systeemmetadata te verzamelen.

Volgens onderzoekers is de reeks functies die binnen JanelaRAT worden waargenomen echter slechts een subset van wat BX RAT te bieden heeft. Blijkbaar hebben de ontwikkelaars van JanelaRAT ervoor gekozen om geen functionaliteit op te nemen voor het uitvoeren van shell-commando's, het manipuleren van bestanden of het beheren van processen.

Een grondig onderzoek van de broncode heeft de aanwezigheid van verschillende tekenreeksen in het Portugees onthuld, wat aangeeft dat de makers van de dreiging mogelijk bekend zijn met deze specifieke taal. Bovendien worden verbindingen met de regio Latijns-Amerika (LATAM) gevonden in verwijzingen naar entiteiten die actief zijn in de bancaire en gedecentraliseerde financiële sector. Er is ook het feit dat het VBScript geassocieerd met JanelaRAT kan worden getraceerd naar Chili, Colombia en Mexico.