15/08/23
Новый финансовый троян под названием JanelaRAT, способный похищать конфиденциальные данные из скомпрометированных систем Windows, нацелился на пользователей Латинской Америки.
Согласно недавнему отчёту исследовательской компании Zscaler, JanelaRAT в основном охотится за финансовыми и криптовалютными данными банков и финансовых учреждений. Вредонос применяет технику DLL Sideloading, используя библиотеки легитимных приложений от VMware и Microsoft, чтобы обойти защиту, пишет Securitylab.
Точное начало цепочки заражения неизвестно, однако специалисты Zscaler обнаружили вредоносную кампанию в июне 2023 года. Злоумышленники используют неизвестный вектор для доставки ZIP-архива, содержащего VBScript.
VBScript после активации загружает ещё один ZIP-архив с сервера атакующих и устанавливает пакетный файл для закрепления вредоноса в системе. В архиве находятся два компонента: полезная нагрузка JanelaRAT и легитимный исполняемый файл «identity_helper.exe» или «vmnat.exe», который и запускает троян через DLL Sideloading.
JanelaRAT использует шифрование строк и переходит в спящий режим, чтобы избежать анализа и обнаружения. Как сообщают исследователи, JanelaRAT — это сильно модифицированный вариант троянца BX RAT, выпущенного в 2014 году.
Одна из новых функций вредоноса — возможность перехватывать заголовки открытых окон и отсылать их злоумышленникам после регистрации на С2-сервере. JanelaRAT также отслеживает движения мыши, фиксирует нажатия клавиш, делает скриншоты и собирает метаданные системы.
«JanelaRAT обладает лишь подмножеством функций BX RAT. Разработчик не имплементировал выполнение команд оболочки или функции манипуляции файлами и процессами», — говорят исследователи.
Анализ исходного кода вредоноса показал наличие строк на португальском языке, указывающих на то, что автор как минимум им владеет. Правда португальский распространён далеко не только в Португалии — наберётся ещё с десяток стран, в которых большинство населения говорит на этом языке. Поэтому точно идентифицировать страну злоумышленника едва ли возможно.
Вредоносный VBScript, использованный в атаке, загружался на VirusTotal в основном из Чили, Колумбии и Мексики.
«Использование оригинальных или модифицированных RAT является распространённой практикой злоумышленников, действующих в регионе Латинской Америки. А фокус JanelaRAT на сборе финансовых данных и метод извлечения заголовков окон подчёркивают его целенаправленный и скрытный характер», — отмечают исследователи.
