JanelaRAT Malware

En tidligere ukendt malwaretrussel sporet som JanelaRAT, en finansiel malware, er blevet registreret af cybersikkerhedsspecialister for at være rettet mod enkeltpersoner i Latinamerika-regionen (LATAM). Denne truende software har evnen til at udtrække følsomme data fra Windows-baserede systemer, der er blevet kompromitteret.

JanelaRAT er primært rettet mod at erhverve finansiel og cryptocurrency-relateret information til banker og finansielle institutioner, der opererer inden for LATAM. Malwaren anvender DLL-sideindlæsningsmetoder, der stammer fra legitime enheder såsom VMWare og Microsoft. Denne teknik gør det muligt for JanelaRAT at undgå påvisning ved hjælp af slutpunktssikkerhedsforanstaltninger.

Infektionskæden af JanelaRAT Malware

Det nøjagtige startpunkt for infektionskæden er ikke blevet bekræftet indtil videre. Dog har cybersikkerhedsforskere, der identificerede kampagnen i juni 2023, rapporteret, at en ukendt metode bruges til at introducere en ZIP-arkivfil, der indeholder et Visual Basic Script.

VBScript er omhyggeligt udformet til at hente et andet ZIP-arkiv fra angriberens server. Derudover dropper den en batchfil, der tjener det formål at etablere malwarens persistensmekanisme på det kompromitterede system.

I ZIP-arkivet er to nøglekomponenter bundtet sammen: JanelaRAT-nyttelasten og en legitim eksekverbar, nemlig 'identity_helper.exe' eller 'vmnat.exe'. Disse eksekverbare filer bruges til at starte JanelaRAT-nyttelasten gennem teknikken med DLL-sideindlæsning.

JanelaRAT selv inkorporerer strengkryptering og besidder evnen til at skifte til en inaktiv tilstand, når det er nødvendigt. Denne funktionalitet hjælper med at undgå analyse og detektion. JanelaRAT repræsenterer en væsentligt modificeret version af BX RAT, en skadelig trussel, der oprindeligt blev identificeret tilbage i 2014.

JanelaRAT besidder en specialiseret liste over invasive evner

Blandt de nye truende funktioner, der er indarbejdet i trojaneren, er dens evne til at beslaglægge vinduestitler og overføre dem til trusselsaktørerne. JanelaRAT etablerer dog først kommunikation mellem den nyligt kompromitterede vært og Command-and-Control-serveren (C2) for angrebsoperationen. JanelaRAT kan også prale af yderligere funktionaliteter, herunder evnen til at overvåge museindgange, optage tastetryk, tage skærmbilleder og indsamle systemmetadata.

Men ifølge forskere er rækken af funktioner, der observeres i JanelaRAT, blot en delmængde af, hvad BX RAT tilbyder. Tilsyneladende valgte udviklerne af JanelaRAT ikke at inkludere nogen funktionaliteter til at udføre shell-kommandoer, manipulere filer eller administrere processer.

En grundig undersøgelse af kildekoden har afsløret tilstedeværelsen af flere strenge på portugisisk, hvilket indikerer en mulighed for, at skaberne af truslen er fortrolige med dette særlige sprog. Derudover findes forbindelser til Latinamerika (LATAM)-regionen i referencer til enheder, der er aktive i banksektoren og decentraliserede finanssektorer. Der er også det faktum, at VBScript forbundet med JanelaRAT kunne spores til Chile, Colombia og Mexico.