Η JanelaRAT Στοχεύει χρήστες Windows στη Λατινική Αμερική

Ένα οικονομικό κακόβουλο λογισμικό γνωστό ως JanelaRAT βρίσκεται σε εξέλιξη, στοχεύοντας χρήστες σε ολόκληρη τη Λατινική Αμερική. Αυτό το κακόβουλο λογισμικό έχει την ικανότητα να εξάγει ευαίσθητα δεδομένα από συστήματα Microsoft Windows που έχουν πέσει θύματα των τακτικών του.

Οι ερευνητές στο Zscaler ThreatLabz, δηλαδή οι Gaetano Pellegrino και Sudeep Singh, έριξαν φως στον τρόπο λειτουργίας της JanelaRAT. Αποκαλύπτουν ότι η κύρια εστίαση του κακόβουλου λογισμικού είναι η απόκτηση οικονομικών πληροφοριών και πληροφοριών που σχετίζονται με κρυπτονομίσματα από τράπεζες και χρηματοπιστωτικά ιδρύματα στη Λατινική Αμερική. Για να επιτύχει τους κακόβουλους στόχους του, το κακόβουλο λογισμικό εκμεταλλεύεται έξυπνα τις τεχνικές πλευρικής φόρτωσης DLL, αντλώντας κώδικα από νόμιμες πηγές όπως το VMWare και η Microsoft. Αυτή η προσέγγιση επιτρέπει στο JanelaRAT να μην ανιχνεύεται από τυπικά μέτρα ασφαλείας τελικού σημείου.

Τρόπος Λειτουργίας της JanelaRAT

Ενώ το ακριβές σημείο εισόδου για την εισβολή του κακόβουλου λογισμικού παραμένει αβέβαιο, η εταιρεία κυβερνοασφάλειας που ανακάλυψε αυτήν την καμπάνια τον Ιούνιο του 2023 μοιράστηκε ότι χρησιμοποιείται ένα άγνωστο διάνυσμα για την παράδοση ενός αρχείου αρχείου ZIP. Σε αυτό το αρχείο είναι κρυμμένο ένα σενάριο Visual Basic, σχεδιασμένο για να εκτελεί δύο βασικές εργασίες. Πρώτον, ανακτά ένα άλλο αρχείο ZIP από τον διακομιστή των χάκερ. Δεύτερον, εγκαθιστά ένα αρχείο δέσμης που διασφαλίζει τη συνεχή παρουσία του κακόβουλου λογισμικού στο παραβιασμένο σύστημα.

Μέσα στο πρόσθετο αρχείο ZIP βρίσκεται ένα ωφέλιμο φορτίο διπλής όψης. Το ένα συστατικό είναι το ίδιο το κακόβουλο λογισμικό JanelaRAT, ενώ το άλλο είναι ένα νόμιμο εκτελέσιμο αρχείο με το όνομα identitet_helper.exe ή vmnat.exe. Το τελευταίο χρησιμοποιείται για την εκκίνηση του πρώτου μέσω της στρατηγικής τεχνικής της πλευρικής φόρτωσης DLL.

Η JanelaRAT δεν είναι χωρίς κόλπα για να ξεφύγει από τον έλεγχο. Χρησιμοποιεί κρυπτογράφηση συμβολοσειρών και έχει τη δυνατότητα να μεταβαίνει σε κατάσταση αδράνειας όταν απαιτείται, αποφεύγοντας αποτελεσματικά τον εντοπισμό και την ανάλυση. Αυτό το είδος κακόβουλου λογισμικού είναι, στην πραγματικότητα, μια προσαρμοσμένη έκδοση του προηγουμένως αναγνωρισμένου BX RAT, το οποίο εμφανίστηκε για πρώτη φορά το 2014.

Μια αξιοσημείωτη ενημέρωση αυτού του trojan είναι η νέα του ικανότητα να καταλαμβάνει τίτλους παραθύρων και να τους μεταδίδει σε κακόβουλους παράγοντες, αν και μετά τη δημιουργία σύνδεσης με τον διακομιστή εντολών και ελέγχου (C2). Πέρα από αυτό, το JanelaRAT μπορεί να υπερηφανεύεται για μια σειρά από άλλες δυνατότητες: παρακολούθηση εισόδων του ποντικιού, καταγραφή πληκτρολογήσεων, λήψη στιγμιότυπων οθόνης και συλλογή μεταδεδομένων συστήματος.

Ενώ το JanelaRAT διαθέτει ένα υποσύνολο χαρακτηριστικών σε σύγκριση με τον προκάτοχό του, το BX RAT, οι προγραμματιστές του επέλεξαν να μην συμπεριλάβουν λειτουργίες για την εκτέλεση εντολών φλοιού ή τον χειρισμό αρχείων και διαδικασιών.

Μια πιο προσεκτική εξέταση του πηγαίου κώδικα του κακόβουλου λογισμικού αποκάλυψε ενδιαφέροντα ίχνη της πορτογαλικής γλώσσας. Αυτή η γλωσσική ένδειξη υποδηλώνει ότι ο συγγραφέας του JanelaRAT γνωρίζει καλά αυτή τη γλώσσα.

Η σύνδεση της Λατινικής Αμερικής γίνεται εμφανής μέσω αναφορών σε οντότητες στον τραπεζικό και αποκεντρωμένο χρηματοπιστωτικό τομέα. Επιπλέον, η γεωγραφική προέλευση των μεταφορτώσεων VBScript στο VirusTotal κατευθύνεται προς τη Χιλή, την Κολομβία και το Μεξικό.