JanelaRAT riktar sig till Windows-användare i Latinamerika

En finansiell skadlig programvara känd som JanelaRAT är på jakt och riktar sig till användare över hela Latinamerika. Denna skadliga programvara har en förmåga att extrahera känslig data från Microsoft Windows-system som har fallit offer för dess taktik.

Forskarna vid Zscaler ThreatLabz, nämligen Gaetano Pellegrino och Sudeep Singh, belyser JanelaRAT:s modus operandi. De avslöjar att skadlig programvaras primära fokus är att skaffa finansiell och kryptovaluta-relaterad information från banker och finansiella institutioner i Latinamerika. För att uppnå sina ondskefulla mål utnyttjar skadlig programvara skickligt tekniker för sidladdning av DLL och drar kod från legitima källor som VMWare och Microsoft. Detta tillvägagångssätt gör att JanelaRAT inte kan upptäckas av typiska slutpunktssäkerhetsåtgärder.

JanelaRATs funktionssätt

Även om den exakta startpunkten för intrånget av skadlig programvara är osäker, har cybersäkerhetsföretaget som grävde fram denna kampanj i juni 2023 delat att en okänd vektor används för att leverera en ZIP-arkivfil. Dold i detta arkiv är ett Visual Basic-skript, konstruerat för att utföra två viktiga uppgifter. För det första hämtar den ett annat ZIP-arkiv från hackarnas server. För det andra planterar den en batchfil som säkerställer skadlig programvaras fortsatta närvaro på det komprometterade systemet.

Inuti det extra ZIP-arkivet finns en dubbelkantad nyttolast. En komponent är JanelaRAT malware i sig, medan den andra är en legitim körbar som heter identity_helper.exe eller vmnat.exe. Den senare används för att lansera den förra genom den strategiska tekniken med DLL-sidoladdning.

JanelaRAT är inte utan sina knep för att undgå granskning. Den använder strängkryptering och har förmågan att byta till viloläge vid behov, vilket effektivt undviker upptäckt och analys. Denna stam av skadlig programvara är i själva verket en anpassad version av den tidigare identifierade BX RAT, som först dök upp 2014.

En anmärkningsvärd uppdatering av den här trojanen är dess nyfunna kapacitet att beslagta fönstertitlar och vidarebefordra dem till illvilliga aktörer, om än efter att ha upprättat en anslutning till kommando-och-kontroll-servern (C2). Utöver detta har JanelaRAT en rad andra funktioner: spåra musinmatningar, logga tangenttryckningar, ta skärmdumpar och samla in systemmetadata.

Medan JanelaRAT kommer med en undergrupp av funktioner jämfört med sin föregångare, BX RAT, valde dess utvecklare att inte inkludera funktioner för att utföra skalkommandon eller manipulera filer och processer.

En närmare inspektion av skadlig programvaras källkod har avslöjat spännande spår av det portugisiska språket. Denna språkliga ledtråd antyder att författaren till JanelaRAT är väl bekant med detta språk.

Den latinamerikanska kopplingen blir uppenbar genom hänvisningar till enheter inom bank- och decentraliserade finanssektorer. Dessutom pekar det geografiska ursprunget för VBScript-uppladdningarna till VirusTotal mot Chile, Colombia och Mexiko.