JanelaRAT 針對拉丁美洲的 Windows 用戶

一種名為 JanelaRAT 的金融惡意軟件正在四處遊蕩，目標是拉丁美洲的用戶。這種惡意軟件能夠從已成為其策略受害者的 Microsoft Windows 系統中提取敏感數據。

Zscaler ThreatLabz 的研究人員 Gaetano Pellegrino 和 Sudeep Singh 揭示了 JanelaRAT 的作案手法。他們透露，該惡意軟件的主要目標是從拉丁美洲的銀行和金融機構獲取金融和加密貨幣相關信息。為了實現其邪惡目標，該惡意軟件巧妙地利用 DLL 側面加載技術，從 VMWare 和 Microsoft 等合法來源提取代碼。這種方法使得 JanelaRAT 不會被典型的端點安全措施檢測到。

JanelaRAT 的運作模式

雖然惡意軟件入侵的確切入口點仍不確定，但 2023 年 6 月發現此活動的網絡安全公司表示，該惡意軟件使用了未知向量來傳遞 ZIP 存檔文件。該檔案中隱藏著一個 Visual Basic 腳本，旨在執行兩項關鍵任務。首先，它從黑客的服務器獲取另一個 ZIP 存檔。其次，它會植入一個批處理文件，以確保惡意軟件繼續存在於受感染的系統上。

在附加的 ZIP 存檔內有一個雙刃的有效負載。一個組件是JanelaRAT 惡意軟件本身，而另一個組件是名為identity_helper.exe 或vmnat.exe 的合法可執行文件。後者通過DLL旁加載的策略技術來啟動前者。

JanelaRAT 並非沒有逃避審查的伎倆。它採用字符串加密，並能夠在需要時切換到空閒模式，有效逃避檢測和分析。事實上，這種惡意軟件是先前識別的 BX RAT 的定製版本，該 RAT 於 2014 年首次出現。

該木馬的一個值得注意的更新是它新發現的捕獲窗口標題並將其轉發給惡意行為者的能力，儘管是在與命令和控制 (C2) 服務器建立連接之後。除此之外，JanelaRAT 還擁有一系列其他功能：跟踪鼠標輸入、記錄擊鍵、捕獲屏幕截圖和收集系統元數據。

雖然 JanelaRAT 與其前身 BX RAT 相比具有一部分功能，但其開發人員選擇不包含執行 shell 命令或操作文件和進程的功能。

對惡意軟件源代碼的仔細檢查發現了葡萄牙語的有趣痕跡。這一語言線索表明 JanelaRAT 的作者非常熟悉這種語言。

通過提及銀行和去中心化金融部門的實體，拉丁美洲的聯繫變得顯而易見。此外，上傳到 VirusTotal 的 VBScript 的地理來源指向智利、哥倫比亞和墨西哥。