JanelaRAT нацелена на пользователей Windows в Латинской Америке

Финансовое вредоносное ПО, известное как JanelaRAT, активно атакует пользователей по всей Латинской Америке. Это вредоносное ПО способно извлекать конфиденциальные данные из систем Microsoft Windows, ставших жертвами его тактики.

Исследователи из Zscaler ThreatLabz, а именно Гаэтано Пеллегрино и Судип Сингх, пролили свет на методы работы JanelaRAT. Они показывают, что основное внимание вредоносного ПО направлено на получение финансовой и связанной с криптовалютой информации из банков и финансовых учреждений в Латинской Америке. Для достижения своих гнусных целей вредоносное ПО ловко использует методы боковой загрузки DLL, извлекая код из законных источников, таких как VMWare и Microsoft. Такой подход позволяет JanelaRAT оставаться незамеченным стандартными мерами безопасности конечных точек.

Режим работы JanelaRAT

Хотя точная точка входа для вторжения вредоносного ПО остается неизвестной, компания по кибербезопасности, которая раскрыла эту кампанию в июне 2023 года, сообщила, что для доставки файла ZIP-архива используется неизвестный вектор. В этом архиве скрыт скрипт Visual Basic, предназначенный для выполнения двух ключевых задач. Во-первых, он получает еще один ZIP-архив с сервера хакеров. Во-вторых, он устанавливает пакетный файл, который обеспечивает постоянное присутствие вредоносного ПО в скомпрометированной системе.

Внутри дополнительного ZIP-архива лежит обоюдоострая полезная нагрузка. Один компонент — это сама вредоносная программа JanelaRAT, а другой — законный исполняемый файл с именем identity_helper.exe или vmnat.exe. Последний используется для запуска первого с помощью стратегической техники боковой загрузки DLL.

JanelaRAT не лишена уловок, позволяющих избежать пристального внимания. Он использует строковое шифрование и имеет возможность при необходимости переключаться в режим ожидания, эффективно избегая обнаружения и анализа. Этот штамм вредоносного ПО, по сути, представляет собой модифицированную версию ранее идентифицированного BX RAT, впервые появившегося в 2014 году.

Примечательным обновлением этого трояна является его новая способность перехватывать заголовки окон и передавать их злоумышленникам, хотя и после установления соединения с сервером управления и контроля (C2). Помимо этого, JanelaRAT может похвастаться множеством других возможностей: отслеживанием действий мыши, регистрацией нажатий клавиш, захватом снимков экрана и сбором системных метаданных.

Хотя JanelaRAT имеет подмножество функций по сравнению со своим предшественником, BX RAT, его разработчики решили не включать функции для выполнения команд оболочки или управления файлами и процессами.

Более внимательное изучение исходного кода вредоносной программы выявило интригующие следы португальского языка. Эта лингвистическая подсказка предполагает, что автор JanelaRAT хорошо знаком с этим языком.

Латиноамериканская связь становится очевидной благодаря ссылкам на организации банковского и децентрализованного финансового секторов. Кроме того, географическое происхождение загрузок VBScript в VirusTotal указывает на Чили, Колумбию и Мексику.