Вредоносное ПО JanelaRAT

Специалисты по кибербезопасности зафиксировали, что ранее неизвестная угроза вредоносного ПО, отслеживаемая как финансовая вредоносная программа JanelaRAT, нацелена на лиц в регионе Латинской Америки (LATAM). Это угрожающее программное обеспечение может извлекать конфиденциальные данные из систем на базе Windows, которые были скомпрометированы.

JanelaRAT в первую очередь направлен на получение финансовой и криптовалютной информации для банков и финансовых учреждений, работающих в Латинской Америке. Вредоносное ПО использует методы боковой загрузки DLL, полученные от законных организаций, таких как VMWare и Microsoft. Этот метод позволяет JanelaRAT избежать обнаружения мерами безопасности конечной точки.

Цепочка заражения вредоносным ПО JanelaRAT

Точная начальная точка цепочки заражения пока не подтверждена. Однако исследователи кибербезопасности, которые обнаружили эту кампанию в июне 2023 года, сообщили, что используется неизвестный метод для представления файла ZIP-архива, содержащего сценарий Visual Basic.

VBScript был тщательно разработан для извлечения второго ZIP-архива с сервера злоумышленников. Кроме того, он сбрасывает пакетный файл, который служит для установки механизма сохранения вредоносного ПО в скомпрометированной системе.

Внутри ZIP-архива объединены два ключевых компонента: полезная нагрузка JanelaRAT и законный исполняемый файл, а именно «identity_helper.exe» или «vmnat.exe». Эти исполняемые файлы используются для запуска полезной нагрузки JanelaRAT с помощью метода боковой загрузки DLL.

Сама JanelaRAT включает шифрование строк и обладает способностью при необходимости переходить в состояние ожидания. Эта функциональность помогает избежать анализа и обнаружения. JanelaRAT представляет собой значительно модифицированную версию BX RAT, вредоносной угрозы, которая была первоначально идентифицирована еще в 2014 году.

JanelaRAT обладает специализированным списком инвазивных возможностей

Среди новых угрожающих функций, заложенных в троянца, — его способность захватывать заголовки окон и передавать их злоумышленникам. Однако JanelaRAT сначала устанавливает связь между вновь скомпрометированным хостом и сервером управления и контроля (C2) операции атаки. JanelaRAT также может похвастаться дополнительными функциями, в том числе возможностью отслеживать действия мыши, записывать нажатия клавиш, делать снимки экрана и собирать системные метаданные.

Однако, по мнению исследователей, набор функций, наблюдаемых в JanelaRAT, является лишь частью того, что предлагает BX RAT. Судя по всему, разработчики JanelaRAT решили не включать какие-либо функции для выполнения команд оболочки, манипулирования файлами или управления процессами.

Тщательное изучение исходного кода выявило наличие нескольких строк на португальском языке, что указывает на возможность того, что создатели угрозы знакомы с этим конкретным языком. Кроме того, связи с регионом Латинской Америки (LATAM) обнаруживаются в ссылках на организации, действующие в банковском и децентрализованном финансовом секторах. Также есть факт, что VBScript, связанный с JanelaRAT, можно проследить до Чили, Колумбии и Мексики.