JanelaRAT tem como alvo usuários do Windows na América Latina

Um malware financeiro conhecido como JanelaRAT está à espreita, visando usuários em toda a América Latina. Este software malicioso tem um talento especial para extrair dados confidenciais de sistemas Microsoft Windows que foram vítimas de suas táticas.

Os pesquisadores do Zscaler ThreatLabz, Gaetano Pellegrino e Sudeep Singh, lançaram luz sobre o modus operandi do JanelaRAT. Eles revelam que o foco principal do malware é adquirir informações financeiras e relacionadas a criptomoedas de bancos e instituições financeiras na América Latina. Para atingir seus objetivos nefastos, o malware explora habilmente as técnicas de carregamento lateral de DLL, extraindo código de fontes legítimas, como VMWare e Microsoft. Essa abordagem permite que o JanelaRAT passe despercebido pelas medidas típicas de segurança de endpoint.

Modo de operação do JanelaRAT

Embora o ponto de entrada exato para a invasão do malware permaneça incerto, a empresa de segurança cibernética que descobriu esta campanha em junho de 2023 compartilhou que um vetor desconhecido é empregado para entregar um arquivo ZIP. Escondido dentro deste arquivo está um Script Visual Basic, projetado para executar duas tarefas principais. Em primeiro lugar, ele busca outro arquivo ZIP do servidor dos hackers. Em segundo lugar, ele planta um arquivo em lote que garante a presença contínua do malware no sistema comprometido.

Dentro do arquivo ZIP adicional encontra-se uma carga útil de dois gumes. Um componente é o próprio malware JanelaRAT, enquanto o outro é um executável legítimo chamado identity_helper.exe ou vmnat.exe. O último é empregado para iniciar o primeiro por meio da técnica estratégica de carregamento lateral de DLL.

O JanelaRAT tem seus truques para escapar do escrutínio. Ele emprega criptografia de cadeia de caracteres e tem a capacidade de alternar para o modo inativo quando necessário, evitando efetivamente a detecção e a análise. Esse tipo de malware é, na verdade, uma versão personalizada do BX RAT previamente identificado, que surgiu pela primeira vez em 2014.

Uma atualização digna de nota para este trojan é sua capacidade recém-descoberta de capturar títulos de janelas e retransmiti-los para agentes mal-intencionados, embora após estabelecer uma conexão com o servidor de comando e controle (C2). Além disso, o JanelaRAT possui uma variedade de outros recursos: rastreamento de entradas do mouse, registro de pressionamentos de tecla, captura de tela e coleta de metadados do sistema.

Embora o JanelaRAT venha com um subconjunto de recursos em comparação com seu antecessor, o BX RAT, seus desenvolvedores optaram por não incluir funcionalidades para executar comandos de shell ou manipular arquivos e processos.

Uma inspeção mais detalhada do código-fonte do malware revelou traços intrigantes da língua portuguesa. Essa pista linguística sugere que o autor de JanelaRAT está bem familiarizado com esse idioma.

A conexão latino-americana fica evidente por meio de referências a entidades dos setores bancário e financeiro descentralizado. Além disso, as origens geográficas dos uploads do VBScript para o VirusTotal apontam para Chile, Colômbia e México.