JanelaRAT はラテンアメリカの Windows ユーザーをターゲットにしています

JanelaRAT として知られる金融マルウェアが、ラテンアメリカ全土のユーザーをターゲットにして徘徊しています。この悪意のあるソフトウェアは、その戦術の犠牲になった Microsoft Windows システムから機密データを抽出するコツを持っています。

Zscaler ThreatLabz の研究者、つまり Gaetano Pellegrino と Sudeep Singh は、JanelaRAT の手口を解明しました。彼らは、このマルウェアの主な焦点が、ラテンアメリカの銀行や金融機関から金融および仮想通貨関連の情報を取得することにあることを明らかにしました。その邪悪な目的を達成するために、このマルウェアは DLL サイドローディング技術を巧みに利用し、VMWare や Microsoft などの正規のソースからコードを描画します。このアプローチにより、JanelaRAT は一般的なエンドポイント セキュリティ対策によって検出されなくなります。

JanelaRAT の動作モード

マルウェア侵入の正確な侵入ポイントは依然として不明ですが、2023 年 6 月にこのキャンペーンを発見したサイバーセキュリティ会社は、ZIP アーカイブ ファイルの配信に未知のベクトルが使用されていることを共有しました。このアーカイブ内には、2 つの重要なタスクを実行するように設計された Visual Basic スクリプトが隠されています。まず、ハッカーのサーバーから別の ZIP アーカイブを取得します。次に、侵害されたシステム上にマルウェアが継続的に存在することを保証するバッチ ファイルを植え付けます。

追加の ZIP アーカイブ内には、諸刃のペイロードが含まれています。 1 つのコンポーネントは JanelaRAT マルウェア自体であり、もう 1 つは、identity_helper.exe または vmnat.exe という名前の正規の実行可能ファイルです。後者は、DLL サイドローディングの戦略的手法を通じて前者を起動するために使用されます。

JanelaRAT には監視を逃れるためのトリックがないわけではありません。文字列暗号化を採用しており、必要に応じてアイドル モードに切り替える機能があり、検出と分析を効果的に回避します。このマルウェアは、実際には、2014 年に初めて出現した、以前に特定された BX RAT のカスタマイズされたバージョンです。

このトロイの木馬の注目すべきアップデートは、コマンド アンド コントロール (C2) サーバーへの接続を確立した後であっても、ウィンドウ タイトルを取得し、悪意のある攻撃者に中継する能力が新たに発見されたことです。これ以外にも、JanelaRAT は、マウス入力の追跡、キーストロークの記録、スクリーンショットのキャプチャ、システム メタデータの収集など、その他の一連の機能を誇ります。

JanelaRAT には、その前任者である BX RAT と比較して機能のサブセットが付属していますが、その開発者は、シェル コマンドの実行やファイルやプロセスの操作のための機能を含めないことを選択しました。

このマルウェアのソース コードを詳しく調べたところ、ポルトガル語の興味深い痕跡が明らかになりました。この言語的な手がかりは、JanelaRAT の作成者がこの言語に精通していることを示唆しています。

ラテンアメリカとのつながりは、銀行および分散型金融セクターの企業への言及を通じて明らかになります。さらに、VirusTotal にアップロードされる VBScript の地理的起源は、チリ、コロンビア、メキシコを指しています。