JanelaRAT retter seg mot Windows-brukere i Latin-Amerika

En finansiell skadelig programvare kjent som JanelaRAT er på jakt og retter seg mot brukere over hele Latin-Amerika. Denne ondsinnede programvaren har en evne til å trekke ut sensitive data fra Microsoft Windows-systemer som har blitt offer for taktikken.

Forskerne ved Zscaler ThreatLabz, nemlig Gaetano Pellegrino og Sudeep Singh, kaster lys over JanelaRATs modus operandi. De avslører at skadevarens primære fokus er å skaffe finansiell og kryptovaluta-relatert informasjon fra banker og finansinstitusjoner i Latin-Amerika. For å oppnå sine uhyggelige mål utnytter skadevaren på en smart måte DLL-sidelastingsteknikker, og trekker kode fra legitime kilder som VMWare og Microsoft. Denne tilnærmingen lar JanelaRAT forbli uoppdaget av typiske endepunktsikkerhetstiltak.

JanelaRATs driftsmodus

Selv om det nøyaktige inngangspunktet for skadelig programvares inntrengning fortsatt er usikkert, har cybersikkerhetsselskapet som avdekket denne kampanjen i juni 2023 delt at en ukjent vektor brukes til å levere en ZIP-arkivfil. Skjult i dette arkivet er et Visual Basic-skript, konstruert for å utføre to nøkkeloppgaver. For det første henter den et annet ZIP-arkiv fra hackernes server. For det andre planter den en batchfil som sikrer skadevarens fortsatte tilstedeværelse på det kompromitterte systemet.

Inne i det ekstra ZIP-arkivet ligger en tokantet nyttelast. En komponent er selve JanelaRAT-malwaren, mens den andre er en legitim kjørbar med navnet identity_helper.exe eller vmnat.exe. Sistnevnte brukes til å lansere førstnevnte gjennom den strategiske teknikken med DLL-sidelasting.

JanelaRAT er ikke uten sine triks for å unngå gransking. Den bruker strengkryptering og har muligheten til å bytte til inaktiv modus når det er nødvendig, og effektivt unngå deteksjon og analyse. Denne stammen av skadelig programvare er faktisk en tilpasset versjon av den tidligere identifiserte BX RAT, som først dukket opp i 2014.

En bemerkelsesverdig oppdatering av denne trojaneren er dens nyoppdagede kapasitet til å gripe vindustitler og videresende dem til ondsinnede aktører, om enn etter å ha etablert en tilkobling til kommando-og-kontroll-serveren (C2). Utover dette kan JanelaRAT skryte av en rekke andre funksjoner: sporing av museinnganger, logging av tastetrykk, ta skjermbilder og innsamling av systemmetadata.

Mens JanelaRAT kommer med et undersett av funksjoner sammenlignet med forgjengeren, BX RAT, valgte utviklerne ikke å inkludere funksjoner for å utføre skallkommandoer eller manipulere filer og prosesser.

En nærmere inspeksjon av skadevarens kildekode har avslørt spennende spor av det portugisiske språket. Denne lingvistiske ledetråden antyder at forfatteren av JanelaRAT er godt kjent med dette språket.

Den latinamerikanske forbindelsen blir tydelig gjennom referanser til enheter i bank- og desentralisert finanssektor. Videre peker den geografiske opprinnelsen til VBScript-opplastingene til VirusTotal mot Chile, Colombia og Mexico.