JanelaRAT Malware

Una minaccia malware precedentemente sconosciuta tracciata come JanelaRAT, un malware finanziario, è stata registrata dagli specialisti della sicurezza informatica per prendere di mira individui all'interno della regione dell'America Latina (LATAM). Questo software minaccioso ha la capacità di estrarre dati sensibili da sistemi basati su Windows che sono stati compromessi.

JanelaRAT è principalmente diretto all'acquisizione di informazioni finanziarie e relative alle criptovalute per le banche e gli istituti finanziari che operano all'interno di LATAM. Il malware utilizza metodi di caricamento laterale DLL provenienti da entità legittime come VMWare e Microsoft. Questa tecnica consente a JanelaRAT di evitare il rilevamento da parte delle misure di sicurezza dell'endpoint.

La catena di infezione del malware JanelaRAT

L'esatto punto iniziale della catena dell'infezione non è stato finora confermato. Tuttavia, i ricercatori di sicurezza informatica che hanno identificato la campagna nel giugno 2023 hanno riferito che viene utilizzato un metodo sconosciuto per introdurre un file di archivio ZIP contenente uno script di Visual Basic.

Il VBScript è stato meticolosamente creato per recuperare un secondo archivio ZIP dal server degli aggressori. Inoltre, rilascia un file batch che ha lo scopo di stabilire il meccanismo di persistenza del malware sul sistema compromesso.

All'interno dell'archivio ZIP, due componenti chiave sono raggruppati insieme: il payload JanelaRAT e un eseguibile legittimo, vale a dire "identity_helper.exe" o "vmnat.exe". Questi eseguibili vengono utilizzati per lanciare il payload JanelaRAT attraverso la tecnica del caricamento laterale delle DLL.

Lo stesso JanelaRAT incorpora la crittografia delle stringhe e possiede la capacità di passare a uno stato di inattività quando necessario. Questa funzionalità aiuta a eludere l'analisi e il rilevamento. JanelaRAT rappresenta una versione significativamente modificata di BX RAT, una minaccia dannosa che è stata inizialmente identificata nel 2014.

JanelaRAT possiede un elenco specializzato di capacità invasive

Tra le nuove funzioni minacciose incorporate nel Trojan c'è la sua capacità di sequestrare i titoli delle finestre e trasmetterli agli autori delle minacce. Tuttavia, JanelaRAT stabilisce prima la comunicazione tra l'host appena compromesso e il server di comando e controllo (C2) dell'operazione di attacco. JanelaRAT vanta anche funzionalità aggiuntive, inclusa la possibilità di monitorare gli input del mouse, registrare le sequenze di tasti, acquisire schermate e raccogliere metadati di sistema.

Tuttavia, secondo i ricercatori, la gamma di funzionalità osservate all'interno di JanelaRAT è solo un sottoinsieme di ciò che offre BX RAT. Apparentemente, gli sviluppatori di JanelaRAT hanno scelto di non includere alcuna funzionalità per l'esecuzione dei comandi della shell, la manipolazione dei file o la gestione dei processi.

Un esame approfondito del codice sorgente ha svelato la presenza di diverse stringhe in portoghese, indicando la possibilità che i creatori della minaccia abbiano familiarità con questa particolare lingua. Inoltre, i collegamenti con la regione dell'America Latina (LATAM) si riscontrano nei riferimenti a soggetti attivi nel settore bancario e della finanza decentrata. C'è anche il fatto che il VBScript associato a JanelaRAT potrebbe essere rintracciato in Cile, Colombia e Messico.