JanelaRAT si rivolge agli utenti Windows in America Latina

Un malware finanziario noto come JanelaRAT è in agguato e prende di mira gli utenti in tutta l'America Latina. Questo software dannoso ha un talento per l'estrazione di dati sensibili dai sistemi Microsoft Windows che sono caduti vittima delle sue tattiche.

I ricercatori di Zscaler ThreatLabz, ovvero Gaetano Pellegrino e Sudeep Singh, fanno luce sul modus operandi di JanelaRAT. Rivelano che l'obiettivo principale del malware è acquisire informazioni finanziarie e relative alle criptovalute da banche e istituzioni finanziarie in America Latina. Per raggiungere i suoi nefasti obiettivi, il malware sfrutta abilmente le tecniche di caricamento laterale delle DLL, estraendo codice da fonti legittime come VMWare e Microsoft. Questo approccio consente a JanelaRAT di non essere rilevato dalle tipiche misure di sicurezza degli endpoint.

Modalità operativa di JanelaRAT

Mentre il punto di ingresso esatto per l'intrusione del malware rimane incerto, la società di sicurezza informatica che ha portato alla luce questa campagna nel giugno 2023 ha condiviso che un vettore sconosciuto viene utilizzato per fornire un file di archivio ZIP. Nascosto all'interno di questo archivio è uno script di Visual Basic, progettato per eseguire due attività chiave. Innanzitutto, recupera un altro archivio ZIP dal server degli hacker. In secondo luogo, installa un file batch che garantisce la continua presenza del malware sul sistema compromesso.

All'interno dell'archivio ZIP aggiuntivo si trova un carico utile a doppio taglio. Un componente è il malware JanelaRAT stesso, mentre l'altro è un eseguibile legittimo denominato identity_helper.exe o vmnat.exe. Quest'ultimo è impiegato per lanciare il primo attraverso la tecnica strategica del caricamento laterale DLL.

JanelaRAT non è privo di trucchi per eludere il controllo. Utilizza la crittografia delle stringhe e ha la capacità di passare a una modalità inattiva quando richiesto, eludendo efficacemente il rilevamento e l'analisi. Questo ceppo di malware è, infatti, una versione personalizzata del BX RAT precedentemente identificato, emerso per la prima volta nel 2014.

Un aggiornamento degno di nota di questo trojan è la sua nuova capacità di sequestrare i titoli delle finestre e inoltrarli a malintenzionati, anche se dopo aver stabilito una connessione al server di comando e controllo (C2). Oltre a ciò, JanelaRAT vanta una serie di altre funzionalità: tracciamento degli input del mouse, registrazione delle sequenze di tasti, acquisizione di schermate e raccolta di metadati di sistema.

Sebbene JanelaRAT sia dotato di un sottoinsieme di funzionalità rispetto al suo predecessore, BX RAT, i suoi sviluppatori hanno scelto di non includere funzionalità per l'esecuzione di comandi della shell o la manipolazione di file e processi.

Un esame più attento del codice sorgente del malware ha rivelato tracce intriganti della lingua portoghese. Questo indizio linguistico suggerisce che l'autore di JanelaRAT conosce bene questa lingua.

La connessione latinoamericana diventa evidente attraverso riferimenti a entità del settore bancario e della finanza decentrata. Inoltre, le origini geografiche dei caricamenti VBScript su VirusTotal puntano verso Cile, Colombia e Messico.