JanelaRAT 恶意软件

通过Mezo在 Malware, Remote Administration Tools

翻译为：

网络安全专家记录了一种以前未知的恶意软件威胁，被追踪为 JanelaRAT（一种金融恶意软件），其目标是拉丁美洲 (LATAM) 地区的个人。这种威胁软件能够从已受到损害的基于 Windows 的系统中提取敏感数据。

JanelaRAT 主要旨在为拉丁美洲境内运营的银行和金融机构获取金融和加密货币相关信息。该恶意软件采用来自 VMWare 和 Microsoft 等合法实体的 DLL 侧面加载方法。该技术允许 JanelaRAT 避免端点安全措施的检测。

目前，感染链的确切起始点尚未得到证实。然而，2023 年 6 月发现该活动的网络安全研究人员报告称，该活动使用了一种未知方法来引入包含 Visual Basic 脚本的 ZIP 存档文件。

VBScript 经过精心设计，可以从攻击者的服务器检索第二个 ZIP 存档。此外，它还会删除一个批处理文件，该文件的目的是在受感染的系统上建立恶意软件的持久性机制。

在 ZIP 存档中，两个关键组件捆绑在一起：JanelaRAT 有效负载和合法的可执行文件，即“identity_helper.exe”或“vmnat.exe”。这些可执行文件用于通过 DLL 侧面加载技术启动 JanelaRAT 有效负载。

JanelaRAT 本身结合了字符串加密，并具有在必要时转换到空闲状态的能力。此功能有助于逃避分析和检测。 JanelaRAT 是 BX RAT 的重大修改版本，BX RAT 是一种有害威胁，最初于 2014 年被发现。

该特洛伊木马的新威胁功能之一是它能够捕获窗口标题并将其传输给威胁行为者。然而，JanelaRAT 首先在新受感染的主机和攻击操作的命令与控制 (C2) 服务器之间建立通信。 JanelaRAT 还拥有额外的功能，包括监控鼠标输入、记录击键、捕获屏幕截图和收集系统元数据的能力。

然而，研究人员表示，JanelaRAT 中观察到的一系列功能只是 BX RAT 提供的功能的一个子集。显然，JanelaRAT 的开发人员选择不包含任何执行 shell 命令、操作文件或管理进程的功能。

对源代码的彻底检查发现存在多个葡萄牙语字符串，这表明威胁的创建者可能熟悉这种特定语言。此外，在活跃于银行和去中心化金融领域的实体的参考文献中也发现了与拉丁美洲（LATAM）地区的联系。还有一个事实是，与 JanelaRAT 相关的 VBScript 可以追溯到智利、哥伦比亚和墨西哥。

搜索