JanelaRAT 针对拉丁美洲的 Windows 用户

一种名为 JanelaRAT 的金融恶意软件正在四处游荡，目标是拉丁美洲的用户。这种恶意软件能够从已成为其策略受害者的 Microsoft Windows 系统中提取敏感数据。

Zscaler ThreatLabz 的研究人员 Gaetano Pellegrino 和 Sudeep Singh 揭示了 JanelaRAT 的作案手法。他们透露，该恶意软件的主要目标是从拉丁美洲的银行和金融机构获取金融和加密货币相关信息。为了实现其邪恶目标，该恶意软件巧妙地利用 DLL 侧面加载技术，从 VMWare 和 Microsoft 等合法来源提取代码。这种方法使得 JanelaRAT 不会被典型的端点安全措施检测到。

JanelaRAT 的运作模式

虽然恶意软件入侵的确切入口点仍不确定，但 2023 年 6 月发现此活动的网络安全公司表示，该恶意软件使用了未知向量来传递 ZIP 存档文件。该档案中隐藏着一个 Visual Basic 脚本，旨在执行两项关键任务。首先，它从黑客的服务器获取另一个 ZIP 存档。其次，它会植入一个批处理文件，以确保恶意软件继续存在于受感染的系统上。

在附加的 ZIP 存档内有一个双刃的有效负载。一个组件是JanelaRAT 恶意软件本身，而另一个组件是名为identity_helper.exe 或vmnat.exe 的合法可执行文件。后者通过DLL旁加载的策略技术来启动前者。

JanelaRAT 并非没有逃避审查的伎俩。它采用字符串加密，并能够在需要时切换到空闲模式，有效逃避检测和分析。事实上，这种恶意软件是先前识别的 BX RAT 的定制版本，该 RAT 于 2014 年首次出现。

该木马的一个值得注意的更新是它新发现的捕获窗口标题并将其转发给恶意行为者的能力，尽管是在与命令和控制 (C2) 服务器建立连接之后。除此之外，JanelaRAT 还拥有一系列其他功能：跟踪鼠标输入、记录击键、捕获屏幕截图和收集系统元数据。

虽然 JanelaRAT 与其前身 BX RAT 相比具有一部分功能，但其开发人员选择不包含执行 shell 命令或操作文件和进程的功能。

对恶意软件源代码的仔细检查发现了葡萄牙语的有趣痕迹。这一语言线索表明 JanelaRAT 的作者非常熟悉这种语言。

通过提及银行和去中心化金融部门的实体，拉丁美洲的联系变得显而易见。此外，上传到 VirusTotal 的 VBScript 的地理来源指向智利、哥伦比亚和墨西哥。