JanelaRAT retter sig mod Windows-brugere i Latinamerika

En finansiel malware kendt som JanelaRAT er på jagt og målretter mod brugere i hele Latinamerika. Denne ondsindede software har en evne til at udtrække følsomme data fra Microsoft Windows-systemer, der er blevet ofre for dens taktik.

Forskerne på Zscaler ThreatLabz, nemlig Gaetano Pellegrino og Sudeep Singh, kaster lys over JanelaRATs modus operandi. De afslører, at malwarens primære fokus er på at erhverve finansiel og cryptocurrency-relaterede oplysninger fra banker og finansielle institutioner i Latinamerika. For at nå sine ondsindede mål udnytter malwaren smart DLL-sideindlæsningsteknikker og trækker kode fra legitime kilder som VMWare og Microsoft. Denne tilgang gør det muligt for JanelaRAT at forblive uopdaget af typiske slutpunktssikkerhedsforanstaltninger.

JanelaRATs funktionsmåde

Mens det nøjagtige indgangspunkt for malwarens indtrængen er usikkert, har cybersikkerhedsfirmaet, der afslørede denne kampagne i juni 2023, delt, at en ukendt vektor er brugt til at levere en ZIP-arkivfil. Skjult i dette arkiv er et Visual Basic Script, udviklet til at udføre to nøgleopgaver. For det første henter den endnu et ZIP-arkiv fra hackernes server. For det andet planter den en batch-fil, der sikrer malwarens fortsatte tilstedeværelse på det kompromitterede system.

Inde i det ekstra ZIP-arkiv ligger en dobbeltkantet nyttelast. Den ene komponent er selve JanelaRAT-malwaren, mens den anden er en legitim eksekverbar ved navn identity_helper.exe eller vmnat.exe. Sidstnævnte bruges til at lancere førstnævnte gennem den strategiske teknik med DLL side-loading.

JanelaRAT er ikke uden sine tricks til at unddrage sig kontrol. Den anvender strengkryptering og har mulighed for at skifte til en inaktiv tilstand, når det kræves, hvilket effektivt undgår registrering og analyse. Denne stamme af malware er faktisk en tilpasset version af den tidligere identificerede BX RAT, som først dukkede op i 2014.

En bemærkelsesværdig opdatering til denne trojan er dens nyfundne kapacitet til at beslaglægge vinduestitler og videresende dem til ondsindede aktører, omend efter at have etableret en forbindelse til kommando-og-kontrol-serveren (C2). Ud over dette kan JanelaRAT prale af en række andre muligheder: sporing af museindgange, logning af tastetryk, optagelse af skærmbilleder og indsamling af systemmetadata.

Mens JanelaRAT kommer med en undergruppe af funktioner sammenlignet med sin forgænger, BX RAT, valgte dens udviklere ikke at inkludere funktioner til at udføre shell-kommandoer eller manipulere filer og processer.

En nærmere undersøgelse af malwarens kildekode har afsløret spændende spor af det portugisiske sprog. Denne sproglige ledetråd antyder, at forfatteren af JanelaRAT er godt bekendt med dette sprog.

Den latinamerikanske forbindelse bliver tydelig gennem henvisninger til enheder i banksektoren og decentraliserede finanssektorer. Desuden peger den geografiske oprindelse af VBScript-uploads til VirusTotal mod Chile, Colombia og Mexico.