JanelaRAT atakuje użytkowników systemu Windows w Ameryce Łacińskiej

Szkodliwe oprogramowanie finansowe, znane jako JanelaRAT, atakuje użytkowników w całej Ameryce Łacińskiej. To złośliwe oprogramowanie ma talent do wydobywania poufnych danych z systemów Microsoft Windows, które padły ofiarą jego taktyk.

Naukowcy z Zscaler ThreatLabz, a mianowicie Gaetano Pellegrino i Sudeep Singh, rzucają światło na modus operandi JanelaRAT. Ujawniają, że głównym celem złośliwego oprogramowania jest pozyskiwanie informacji finansowych i związanych z kryptowalutami od banków i instytucji finansowych w Ameryce Łacińskiej. Aby osiągnąć swoje nikczemne cele, złośliwe oprogramowanie sprytnie wykorzystuje techniki ładowania bocznego bibliotek DLL, pobierając kod z legalnych źródeł, takich jak VMWare i Microsoft. Takie podejście pozwala JanelaRAT pozostać niewykrytym przez typowe środki bezpieczeństwa punktów końcowych.

Tryb działania JanelaRAT

Chociaż dokładny punkt wejścia złośliwego oprogramowania pozostaje niepewny, firma zajmująca się cyberbezpieczeństwem, która odkryła tę kampanię w czerwcu 2023 r., ujawniła, że do dostarczenia pliku archiwum ZIP wykorzystywany jest nieznany wektor. W tym archiwum ukryty jest skrypt języka Visual Basic, zaprojektowany do wykonywania dwóch kluczowych zadań. Najpierw pobiera kolejne archiwum ZIP z serwera hakerów. Po drugie, instaluje plik wsadowy, który zapewnia stałą obecność złośliwego oprogramowania w zaatakowanym systemie.

Wewnątrz dodatkowego archiwum ZIP znajduje się ładunek obosieczny. Jednym komponentem jest samo złośliwe oprogramowanie JanelaRAT, a drugim legalny plik wykonywalny o nazwie identity_helper.exe lub vmnat.exe. Ten ostatni jest wykorzystywany do uruchamiania pierwszego za pomocą strategicznej techniki ładowania bocznego DLL.

JanelaRAT nie jest pozbawiona sztuczek, aby uniknąć kontroli. Wykorzystuje szyfrowanie ciągów znaków i ma możliwość przełączania się w razie potrzeby w tryb bezczynności, skutecznie unikając wykrycia i analizy. Ten szczep złośliwego oprogramowania jest w rzeczywistości dostosowaną wersją wcześniej zidentyfikowanego BX RAT, który pojawił się po raz pierwszy w 2014 roku.

Godną uwagi aktualizacją tego trojana jest jego nowo odkryta zdolność do przejmowania tytułów okien i przekazywania ich złośliwym podmiotom, aczkolwiek po nawiązaniu połączenia z serwerem dowodzenia i kontroli (C2). Poza tym JanelaRAT oferuje szereg innych możliwości: śledzenie działań myszy, rejestrowanie naciśnięć klawiszy, przechwytywanie zrzutów ekranu i zbieranie metadanych systemu.

Podczas gdy JanelaRAT ma podzbiór funkcji w porównaniu do swojego poprzednika, BX RAT, jego twórcy zdecydowali się nie włączać funkcji do wykonywania poleceń powłoki lub manipulowania plikami i procesami.

Bliższa analiza kodu źródłowego złośliwego oprogramowania ujawniła intrygujące ślady języka portugalskiego. Ta wskazówka językowa sugeruje, że autor JanelaRAT dobrze zna ten język.

Powiązania z Ameryką Łacińską stają się widoczne poprzez odniesienia do podmiotów z sektora bankowego i zdecentralizowanego sektora finansowego. Ponadto geograficzne pochodzenie skryptu VBScript przesyłanego do VirusTotal wskazuje na Chile, Kolumbię i Meksyk.