JanelaRAT skadelig programvare

En tidligere ukjent trussel mot skadelig programvare sporet som JanelaRAT, en finansiell skadelig programvare, har blitt registrert av nettsikkerhetsspesialister for å være rettet mot individer i Latin-Amerika (LATAM)-regionen. Denne truende programvaren har muligheten til å trekke ut sensitive data fra Windows-baserte systemer som har blitt kompromittert.

JanelaRAT er primært rettet mot å innhente finansiell og kryptovalutrelatert informasjon for banker og finansinstitusjoner som opererer innenfor LATAM. Skadevaren bruker DLL-sidelastingsmetoder hentet fra legitime enheter som VMWare og Microsoft. Denne teknikken lar JanelaRAT unngå deteksjon av endepunktsikkerhetstiltak.

Infeksjonskjeden til JanelaRAT Malware

Det nøyaktige startpunktet for infeksjonskjeden er ikke bekreftet så langt. Imidlertid har cybersikkerhetsforskere som identifiserte kampanjen i juni 2023 rapportert at en ukjent metode brukes til å introdusere en ZIP-arkivfil som inneholder et Visual Basic-skript.

VBScript er omhyggelig laget for å hente et annet ZIP-arkiv fra angripernes server. I tillegg slipper den en batchfil som tjener formålet med å etablere skadevarens utholdenhetsmekanisme på det kompromitterte systemet.

Innenfor ZIP-arkivet er to nøkkelkomponenter buntet sammen: JanelaRAT-nyttelasten og en legitim kjørbar, nemlig 'identity_helper.exe' eller 'vmnat.exe.' Disse kjørbare filene brukes til å starte JanelaRAT-nyttelasten gjennom teknikken med DLL-sidelasting.

JanelaRAT selv inkorporerer strengkryptering og har muligheten til å gå over til en inaktiv tilstand når det er nødvendig. Denne funksjonaliteten hjelper til med å unngå analyse og deteksjon. JanelaRAT representerer en betydelig modifisert versjon av BX RAT, en skadelig trussel som opprinnelig ble identifisert tilbake i 2014.

JanelaRAT har en spesialisert liste over invasive evner

Blant de nye truende funksjonene som er innlemmet i trojaneren, er dens evne til å gripe vindustitler og overføre dem til trusselaktørene. Imidlertid etablerer JanelaRAT først kommunikasjon mellom den nylig kompromitterte verten og Command-and-Control-serveren (C2) for angrepsoperasjonen. JanelaRAT har også tilleggsfunksjoner, inkludert muligheten til å overvåke museinnganger, registrere tastetrykk, ta skjermbilder og samle systemmetadata.

Imidlertid, ifølge forskere, er utvalget av funksjoner observert i JanelaRAT bare en undergruppe av hva BX RAT tilbyr. Tilsynelatende valgte utviklerne av JanelaRAT å ikke inkludere noen funksjonalitet for å utføre skallkommandoer, manipulere filer eller administrere prosesser.

En grundig undersøkelse av kildekoden har avslørt tilstedeværelsen av flere strenger på portugisisk, noe som indikerer en mulighet for at skaperne av trusselen er kjent med dette spesielle språket. I tillegg finnes forbindelser til Latin-Amerika (LATAM)-regionen i referanser til enheter som er aktive i banksektoren og desentralisert finanssektor. Det er også det faktum at VBScript assosiert med JanelaRAT kan spores til Chile, Colombia og Mexico.