JanelaRAT apunta a usuarios de Windows en América Latina

Un malware financiero conocido como JanelaRAT está al acecho y se dirige a usuarios de toda América Latina. Este software malicioso tiene la habilidad de extraer datos confidenciales de los sistemas Microsoft Windows que han sido víctimas de sus tácticas.

Los investigadores de Zscaler ThreatLabz, a saber, Gaetano Pellegrino y Sudeep Singh, arrojan luz sobre el modus operandi de JanelaRAT. Revelan que el enfoque principal del malware es adquirir información financiera y relacionada con criptomonedas de bancos e instituciones financieras en América Latina. Para lograr sus nefastos objetivos, el malware explota inteligentemente las técnicas de carga lateral de DLL, extrayendo código de fuentes legítimas como VMWare y Microsoft. Este enfoque permite que JanelaRAT no sea detectada por las medidas típicas de seguridad de puntos finales.

Modo de funcionamiento de JanelaRAT

Si bien el punto de entrada exacto para la intrusión del malware sigue siendo incierto, la compañía de seguridad cibernética que descubrió esta campaña en junio de 2023 compartió que se emplea un vector desconocido para entregar un archivo ZIP. Oculto dentro de este archivo hay un Visual Basic Script, diseñado para realizar dos tareas clave. En primer lugar, obtiene otro archivo ZIP del servidor de los piratas informáticos. En segundo lugar, instala un archivo por lotes que garantiza la presencia continua del malware en el sistema comprometido.

Dentro del archivo ZIP adicional se encuentra una carga útil de doble filo. Un componente es el propio malware JanelaRAT, mientras que el otro es un ejecutable legítimo llamado Identity_helper.exe o vmnat.exe. Este último se emplea para lanzar el primero a través de la técnica estratégica de carga lateral de DLL.

JanelaRAT no carece de trucos para eludir el escrutinio. Emplea encriptación de cadenas y tiene la capacidad de cambiar a un modo inactivo cuando sea necesario, evadiendo efectivamente la detección y el análisis. Esta cepa de malware es, de hecho, una versión personalizada del BX RAT previamente identificado, que surgió por primera vez en 2014.

Una actualización digna de mención de este troyano es su nueva capacidad para apoderarse de los títulos de las ventanas y transmitirlos a los actores malintencionados, aunque después de establecer una conexión con el servidor de comando y control (C2). Más allá de esto, JanelaRAT cuenta con una variedad de otras capacidades: seguimiento de las entradas del mouse, registro de pulsaciones de teclas, captura de capturas de pantalla y recopilación de metadatos del sistema.

Si bien JanelaRAT viene con un subconjunto de características en comparación con su predecesor, BX RAT, sus desarrolladores optaron por no incluir funcionalidades para ejecutar comandos de shell o manipular archivos y procesos.

Una inspección más detallada del código fuente del malware ha revelado rastros intrigantes del idioma portugués. Esta pista lingüística sugiere que el autor de JanelaRAT está bien familiarizado con este idioma.

La conexión latinoamericana se hace evidente a través de referencias a entidades en los sectores bancario y financiero descentralizado. Además, los orígenes geográficos de las cargas de VBScript en VirusTotal apuntan hacia Chile, Colombia y México.