JanelaRAT cible les utilisateurs de Windows en Amérique latine

Un malware financier connu sous le nom de JanelaRAT est à l'affût, ciblant les utilisateurs à travers l'Amérique latine. Ce logiciel malveillant a le don d'extraire des données sensibles des systèmes Microsoft Windows qui ont été victimes de ses tactiques.

Les chercheurs de Zscaler ThreatLabz, à savoir Gaetano Pellegrino et Sudeep Singh, ont fait la lumière sur le modus operandi de JanelaRAT. Ils révèlent que l'objectif principal du logiciel malveillant est d'acquérir des informations financières et liées à la crypto-monnaie auprès des banques et des institutions financières d'Amérique latine. Pour atteindre ses objectifs néfastes, le logiciel malveillant exploite intelligemment les techniques de chargement latéral de DLL, puisant du code à partir de sources légitimes telles que VMWare et Microsoft. Cette approche permet à JanelaRAT de ne pas être détectée par les mesures de sécurité typiques des terminaux.

Mode de fonctionnement de JanelaRAT

Alors que le point d'entrée exact de l'intrusion du logiciel malveillant reste incertain, la société de cybersécurité qui a mis au jour cette campagne en juin 2023 a partagé qu'un vecteur inconnu est utilisé pour fournir un fichier d'archive ZIP. Caché dans cette archive se trouve un script Visual Basic, conçu pour effectuer deux tâches clés. Tout d'abord, il récupère une autre archive ZIP sur le serveur des pirates. Deuxièmement, il installe un fichier de commandes qui garantit la présence continue du logiciel malveillant sur le système compromis.

À l'intérieur de l'archive ZIP supplémentaire se trouve une charge utile à double tranchant. L'un des composants est le malware JanelaRAT lui-même, tandis que l'autre est un exécutable légitime nommé identity_helper.exe ou vmnat.exe. Ce dernier est utilisé pour lancer le premier via la technique stratégique de chargement latéral de DLL.

JanelaRAT n'est pas dépourvue d'astuces pour échapper à l'examen minutieux. Il utilise le cryptage de chaîne et a la capacité de passer en mode inactif si nécessaire, évitant efficacement la détection et l'analyse. Cette souche de malware est, en fait, une version personnalisée du BX RAT précédemment identifié, qui est apparu pour la première fois en 2014.

Une mise à jour remarquable de ce cheval de Troie est sa nouvelle capacité à saisir les titres de fenêtre et à les relayer aux acteurs malveillants, mais après avoir établi une connexion au serveur de commande et de contrôle (C2). Au-delà de cela, JanelaRAT dispose d'un éventail d'autres fonctionnalités : suivi des entrées de la souris, journalisation des frappes au clavier, capture d'écran et collecte des métadonnées du système.

Alors que JanelaRAT est livré avec un sous-ensemble de fonctionnalités par rapport à son prédécesseur, BX RAT, ses développeurs ont choisi de ne pas inclure de fonctionnalités pour exécuter des commandes shell ou manipuler des fichiers et des processus.

Une inspection plus approfondie du code source du malware a révélé des traces intrigantes de la langue portugaise. Cet indice linguistique suggère que l'auteur de JanelaRAT connaît bien cette langue.

La connexion latino-américaine apparaît à travers des références à des entités du secteur bancaire et de la finance décentralisée. De plus, les origines géographiques des téléchargements VBScript vers VirusTotal pointent vers le Chili, la Colombie et le Mexique.