JanelaRAT richt zich op Windows-gebruikers in Latijns-Amerika

Een financiële malware, bekend als JanelaRAT, is op jacht en richt zich op gebruikers in heel Latijns-Amerika. Deze schadelijke software heeft een talent voor het extraheren van gevoelige gegevens van Microsoft Windows-systemen die het slachtoffer zijn geworden van zijn tactieken.

De onderzoekers van Zscaler ThreatLabz, namelijk Gaetano Pellegrino en Sudeep Singh, werpen licht op de modus operandi van JanelaRAT. Ze onthullen dat de malware zich primair richt op het verkrijgen van financiële en cryptocurrency-gerelateerde informatie van banken en financiële instellingen in Latijns-Amerika. Om zijn snode doelen te bereiken, maakt de malware op slimme wijze gebruik van DLL-side-loading-technieken, waarbij code wordt gehaald uit legitieme bronnen zoals VMWare en Microsoft. Door deze aanpak kan JanelaRAT onopgemerkt blijven door typische beveiligingsmaatregelen voor eindpunten.

De werkingsmodus van JanelaRAT

Hoewel het exacte ingangspunt voor de inbraak van de malware onzeker blijft, heeft het cyberbeveiligingsbedrijf dat deze campagne in juni 2023 heeft opgegraven, gedeeld dat een onbekende vector wordt gebruikt om een ZIP-archiefbestand te leveren. Verborgen in dit archief is een Visual Basic-script, ontworpen om twee hoofdtaken uit te voeren. Ten eerste haalt het een ander ZIP-archief op van de server van de hackers. Ten tweede plant het een batchbestand dat ervoor zorgt dat de malware op het gecompromitteerde systeem aanwezig blijft.

In het extra ZIP-archief ligt een tweesnijdende payload. Eén component is de JanelaRAT-malware zelf, terwijl de andere een legitiem uitvoerbaar bestand is met de naam identity_helper.exe of vmnat.exe. De laatste wordt gebruikt om de eerste te lanceren via de strategische techniek van DLL side-loading.

JanelaRAT is niet zonder trucs om nauwkeurig onderzoek te ontwijken. Het maakt gebruik van stringcodering en heeft de mogelijkheid om indien nodig over te schakelen naar een inactieve modus, waardoor detectie en analyse effectief worden omzeild. Deze malwarestam is in feite een aangepaste versie van de eerder geïdentificeerde BX RAT, die voor het eerst opdook in 2014.

Een opmerkelijke update van deze trojan is zijn hernieuwde vermogen om venstertitels in beslag te nemen en deze door te geven aan kwaadwillende actoren, zij het na het tot stand brengen van een verbinding met de command-and-control (C2)-server. Daarnaast beschikt JanelaRAT over een scala aan andere mogelijkheden: muisinvoer volgen, toetsaanslagen loggen, screenshots maken en metadata van het systeem verzamelen.

Hoewel JanelaRAT wordt geleverd met een subset van functies in vergelijking met zijn voorganger, BX RAT, hebben de ontwikkelaars ervoor gekozen om geen functionaliteit op te nemen voor het uitvoeren van shell-commando's of het manipuleren van bestanden en processen.

Een nadere inspectie van de broncode van de malware heeft intrigerende sporen van de Portugese taal aan het licht gebracht. Deze taalkundige aanwijzing suggereert dat de auteur van JanelaRAT goed bekend is met deze taal.

De Latijns-Amerikaanse connectie wordt duidelijk door verwijzingen naar entiteiten in de bancaire en gedecentraliseerde financiële sector. Bovendien wijst de geografische oorsprong van de VBScript-uploads naar VirusTotal in de richting van Chili, Colombia en Mexico.