Złośliwe oprogramowanie JanelaRAT

Nieznane wcześniej zagrożenie złośliwym oprogramowaniem śledzone jako JanelaRAT, finansowe złośliwe oprogramowanie, zostało zarejestrowane przez specjalistów ds. cyberbezpieczeństwa jako atakujące osoby w regionie Ameryki Łacińskiej (LATAM). To groźne oprogramowanie ma możliwość wydobywania poufnych danych z systemów opartych na systemie Windows, które zostały naruszone.

JanelaRAT jest ukierunkowany przede wszystkim na pozyskiwanie informacji finansowych i związanych z kryptowalutami dla banków i instytucji finansowych działających na terenie LATAM. Szkodliwe oprogramowanie wykorzystuje metody ładowania bocznego DLL pochodzące od legalnych podmiotów, takich jak VMWare i Microsoft. Ta technika pozwala JanelaRAT uniknąć wykrycia przez środki bezpieczeństwa punktów końcowych.

Łańcuch infekcji złośliwego oprogramowania JanelaRAT

Dokładny punkt początkowy łańcucha infekcji nie został jak dotąd potwierdzony. Jednak badacze cyberbezpieczeństwa, którzy zidentyfikowali tę kampanię w czerwcu 2023 r., zgłosili, że do wprowadzenia pliku archiwum ZIP zawierającego skrypt Visual Basic Script wykorzystywana jest nieznana metoda.

Skrypt VBScript został skrupulatnie stworzony w celu pobrania drugiego archiwum ZIP z serwera atakującego. Dodatkowo upuszcza plik wsadowy, który służy do ustanowienia mechanizmu trwałości złośliwego oprogramowania w zaatakowanym systemie.

W archiwum ZIP spakowane są dwa kluczowe komponenty: ładunek JanelaRAT i legalny plik wykonywalny, a mianowicie „identity_helper.exe” lub „vmnat.exe”. Te pliki wykonywalne są wykorzystywane do uruchamiania ładunku JanelaRAT za pomocą techniki bocznego ładowania bibliotek DLL.

Sam JanelaRAT zawiera szyfrowanie ciągów i posiada możliwość przejścia w stan bezczynności, gdy jest to konieczne. Ta funkcja pomaga uniknąć analizy i wykrywania. JanelaRAT reprezentuje znacznie zmodyfikowaną wersję BX RAT, szkodliwego zagrożenia, które zostało pierwotnie zidentyfikowane w 2014 roku.

JanelaRAT posiada specjalistyczną listę zdolności inwazyjnych

Wśród nowych groźnych funkcji wprowadzonych do trojana jest jego zdolność do przechwytywania tytułów okien i przesyłania ich do cyberprzestępców. Jednak JanelaRAT najpierw ustanawia komunikację między nowo przejętym hostem a serwerem Command-and-Control (C2) operacji ataku. JanelaRAT oferuje również dodatkowe funkcje, w tym możliwość monitorowania wejść myszy, rejestrowania naciśnięć klawiszy, przechwytywania zrzutów ekranu i gromadzenia metadanych systemowych.

Jednak według naukowców szereg funkcji obserwowanych w JanelaRAT to tylko podzbiór tego, co oferuje BX RAT. Najwyraźniej twórcy JanelaRAT postanowili nie uwzględniać żadnych funkcji do wykonywania poleceń powłoki, manipulowania plikami czy zarządzania procesami.

Dokładna analiza kodu źródłowego ujawniła obecność kilku ciągów znaków w języku portugalskim, co wskazuje na możliwość znajomości tego konkretnego języka przez twórców zagrożenia. Ponadto powiązania z regionem Ameryki Łacińskiej (LATAM) znajdują się w odniesieniach do podmiotów działających w sektorach bankowym i zdecentralizowanych finansów. Istnieje również fakt, że VBScript powiązany z JanelaRAT można prześledzić w Chile, Kolumbii i Meksyku.