JanelaRAT richtet sich an Windows-Benutzer in Lateinamerika

Eine Finanz-Malware namens JanelaRAT ist auf der Suche nach Benutzern in ganz Lateinamerika. Diese Schadsoftware hat ein Talent dafür, vertrauliche Daten von Microsoft Windows-Systemen zu extrahieren, die Opfer ihrer Taktiken geworden sind.

Die Forscher von Zscaler ThreatLabz, nämlich Gaetano Pellegrino und Sudeep Singh, beleuchten die Vorgehensweise von JanelaRAT. Sie zeigen, dass der Hauptfokus der Malware auf dem Erwerb von Finanz- und Kryptowährungsinformationen von Banken und Finanzinstituten in Lateinamerika liegt. Um ihre schändlichen Ziele zu erreichen, nutzt die Malware geschickt DLL-Sideloading-Techniken aus und bezieht Code aus legitimen Quellen wie VMWare und Microsoft. Dieser Ansatz ermöglicht es JanelaRAT, von typischen Endpunkt-Sicherheitsmaßnahmen unentdeckt zu bleiben.

Funktionsweise von JanelaRAT

Während der genaue Eintrittspunkt für das Eindringen der Malware ungewiss bleibt, hat das Cybersicherheitsunternehmen, das diese Kampagne im Juni 2023 aufgedeckt hat, mitgeteilt, dass ein unbekannter Vektor für die Übermittlung einer ZIP-Archivdatei verwendet wird. In diesem Archiv ist ein Visual Basic-Skript verborgen, das für die Ausführung zweier wichtiger Aufgaben entwickelt wurde. Zunächst ruft es ein weiteres ZIP-Archiv vom Server des Hackers ab. Zweitens wird eine Batchdatei installiert, die sicherstellt, dass die Malware weiterhin auf dem kompromittierten System vorhanden ist.

Im zusätzlichen ZIP-Archiv steckt eine zweischneidige Nutzlast. Eine Komponente ist die JanelaRAT-Malware selbst, während die andere eine legitime ausführbare Datei namens Identity_helper.exe oder vmnat.exe ist. Letzteres wird verwendet, um Ersteres durch die strategische Technik des DLL-Seitenladens zu starten.

JanelaRAT ist nicht ohne Tricks, um sich einer genauen Prüfung zu entziehen. Es nutzt String-Verschlüsselung und kann bei Bedarf in einen Ruhemodus wechseln, wodurch eine Erkennung und Analyse effektiv vermieden wird. Bei diesem Malware-Stamm handelt es sich in Wirklichkeit um eine angepasste Version des zuvor identifizierten BX RAT, das erstmals im Jahr 2014 auftauchte.

Ein bemerkenswertes Update dieses Trojaners ist seine neu entdeckte Fähigkeit, Fenstertitel zu erfassen und sie an böswillige Akteure weiterzuleiten, allerdings erst, nachdem eine Verbindung zum Command-and-Control-Server (C2) hergestellt wurde. Darüber hinaus verfügt JanelaRAT über eine Reihe weiterer Funktionen: Verfolgen von Mauseingaben, Protokollieren von Tastenanschlägen, Erfassen von Screenshots und Sammeln von Systemmetadaten.

Während JanelaRAT im Vergleich zu seinem Vorgänger BX RAT über einen Teil der Funktionen verfügt, haben sich die Entwickler dafür entschieden, keine Funktionen zum Ausführen von Shell-Befehlen oder zum Bearbeiten von Dateien und Prozessen einzuschließen.

Eine genauere Untersuchung des Quellcodes der Malware hat faszinierende Spuren der portugiesischen Sprache zutage gefördert. Dieser sprachliche Hinweis legt nahe, dass der Autor von JanelaRAT mit dieser Sprache gut vertraut ist.

Der lateinamerikanische Bezug wird durch Verweise auf Unternehmen im Banken- und dezentralen Finanzsektor deutlich. Darüber hinaus deuten die geografischen Ursprünge der VBScript-Uploads auf VirusTotal auf Chile, Kolumbien und Mexiko hin.