JanelaRAT Malware

Uma ameaça de malware anteriormente desconhecida rastreada como JanelaRAT, um malware financeiro, foi registrada por especialistas em segurança cibernética como tendo como alvo indivíduos na região da América Latina (LATAM). Esse software ameaçador tem a capacidade de extrair dados confidenciais de sistemas baseados no Windows que foram comprometidos.

O JanelaRAT é direcionado principalmente para a aquisição de informações financeiras e relacionadas a criptomoedas para bancos e instituições financeiras que operam na LATAM. O malware emprega métodos de carregamento lateral de DLL provenientes de entidades legítimas, como VMWare e Microsoft. Essa técnica permite que JanelaRAT evite a detecção por medidas de segurança de endpoint.

A Cadeia de Infecção do JanelaRAT Malware 

O ponto inicial exato da cadeia de infecção não foi confirmado até agora. No entanto, os pesquisadores de segurança cibernética que identificaram a campanha em junho de 2023 relataram que um método desconhecido é utilizado para introduzir um arquivo ZIP contendo um script do Visual Basic.

O VBScript foi meticulosamente criado para recuperar um segundo arquivo ZIP do servidor do invasor. Além disso, ele descarta um arquivo em lote que serve para estabelecer o mecanismo de persistência do malware no sistema comprometido.

Dentro do arquivo ZIP, dois componentes principais são agrupados: a carga JanelaRAT e um executável legítimo, chamado 'identity_helper.exe' ou 'vmnat.exe'. Esses executáveis são empregados para iniciar a carga JanelaRAT por meio da técnica de carregamento lateral de DLL.

O próprio JanelaRAT incorpora criptografia de string e possui a capacidade de fazer a transição para um estado ocioso quando necessário. Essa funcionalidade ajuda a iludir a análise e a detecção. JanelaRAT representa uma versão significativamente modificada do BX RAT, uma ameaça prejudicial que foi inicialmente identificada em 2014.

O JanelaRAT Possui uma Lista Especializada de Capacidades Invasivas

Entre as novas funções ameaçadoras incorporadas ao Trojan está sua capacidade de capturar títulos de janelas e transmiti-los aos agentes da ameaça. No entanto, o JanelaRAT primeiro estabelece comunicação entre o host recém-comprometido e o servidor de comando e controle (C2) da operação de ataque. O JanelaRAT também possui funcionalidades adicionais, incluindo a capacidade de monitorar as entradas do mouse, gravar pressionamentos de tecla, capturar capturas de tela e coletar metadados do sistema.

No entanto, de acordo com os pesquisadores, a variedade de recursos observados no JanelaRAT é apenas um subconjunto do que o BX RAT oferece. Aparentemente, os desenvolvedores do JanelaRAT optaram por não incluir nenhuma funcionalidade para executar comandos shell, manipular arquivos ou gerenciar processos.

Um exame minucioso do código-fonte revelou a presença de várias strings em português, indicando a possibilidade de que os criadores da ameaça estejam familiarizados com esse idioma específico. Além disso, as conexões com a região da América Latina (LATAM) são encontradas em referências a entidades ativas nos setores bancário e financeiro descentralizado. Há também o fato de que o VBScript associado ao JanelaRAT pode ser rastreado até o Chile, Colômbia e México.