A JanelaRAT a latin-amerikai Windows-felhasználókat célozza meg

A JanelaRAT néven ismert pénzügyi rosszindulatú program leselkedik, amely Latin-Amerika felhasználóit célozza meg. Ez a rosszindulatú szoftver képes érzékeny adatokat kinyerni a taktikájának áldozatául esett Microsoft Windows rendszerekből.

A Zscaler ThreatLabz kutatói, nevezetesen Gaetano Pellegrino és Sudeep Singh, rávilágítottak a JanelaRAT működési módjára. Felfedik, hogy a rosszindulatú program elsődleges célja a pénzügyi és kriptovalutákkal kapcsolatos információk megszerzése latin-amerikai bankoktól és pénzügyi intézményektől. Aljas céljainak elérése érdekében a rosszindulatú program ügyesen kihasználja a DLL oldalbetöltési technikáit, és olyan törvényes forrásokból merít kódot, mint a VMWare és a Microsoft. Ez a megközelítés lehetővé teszi a JanelaRAT számára, hogy a tipikus végpont-biztonsági intézkedések észrevétlenül maradjanak.

A JanelaRAT működési módja

Míg a rosszindulatú program behatolásának pontos belépési pontja továbbra is bizonytalan, a kampányt 2023 júniusában feltáró kiberbiztonsági vállalat megosztotta azzal, hogy egy ismeretlen vektort alkalmaznak egy ZIP archív fájl kézbesítésére. Ebben az archívumban van egy Visual Basic Script, amelyet két kulcsfontosságú feladat elvégzésére terveztek. Először is letölt egy másik ZIP-archívumot a hackerek szerveréről. Másodszor, egy kötegfájlt telepít, amely biztosítja a rosszindulatú program folyamatos jelenlétét a feltört rendszeren.

A további ZIP archívumban kétélű rakomány található. Az egyik összetevő maga a JanelaRAT rosszindulatú program, míg a másik egy legitim végrehajtható fájl, melynek neve Identity_helper.exe vagy vmnat.exe. Ez utóbbit az előbbi elindítására használják a DLL oldalbetöltés stratégiai technikájával.

A JanelaRAT nem mentes a trükköktől, hogy elkerülje a vizsgálatot. Karakterlánc-titkosítást alkalmaz, és szükség esetén készenléti üzemmódba válthat, hatékonyan elkerülve az észlelést és az elemzést. A rosszindulatú programoknak ez a törzse valójában a korábban azonosított BX RAT testreszabott változata, amely először 2014-ben jelent meg.

Figyelemre méltó frissítése ennek a trójainak az újonnan felfedezett képessége, hogy lefoglalja az ablakcímeket, és továbbítsa azokat a rosszindulatú szereplőknek, jóllehet a parancs- és vezérlés (C2) szerverrel való kapcsolat létrehozása után. Ezen túlmenően a JanelaRAT számos más képességgel is büszkélkedhet: egérbemenetek nyomon követése, billentyűleütések naplózása, képernyőképek rögzítése és a rendszer metaadatainak begyűjtése.

Míg a JanelaRAT az elődjéhez, a BX RAT-hoz képest a funkciók egy részhalmazával rendelkezik, fejlesztői úgy döntöttek, hogy nem tartalmaznak olyan funkciókat, amelyek a shell-parancsok végrehajtásához vagy a fájlok és folyamatok kezeléséhez szükségesek.

A rosszindulatú program forráskódjának alaposabb vizsgálata a portugál nyelv érdekes nyomait tárta fel. Ez a nyelvi nyom arra utal, hogy a JanelaRAT szerzője jól ismeri ezt a nyelvet.

A latin-amerikai kapcsolat nyilvánvalóvá válik a banki és a decentralizált pénzügyi szektor szereplőire való hivatkozásokon keresztül. Ezenkívül a VBScript-feltöltések VirusTotalba földrajzi eredete Chile, Kolumbia és Mexikó felé mutat.