Korisnici u Latinskoj Americi (LATAM) su meta finansijskog malvera zvanog JanelaRAT koji je sposoban da uhvati osetljive informacije sa kompromitovanih Microsoft Windows sistema.
“JanelaRAT uglavnom cilja na finansijske i podatke kriptovaluta iz LATAM banke i finansijskih institucija”, rekli su istraživači Zscaler ThreatLabz Gaetano Pellegrino i Sudeep Singh, dodajući da “zloupotrebljava tehnike bočnog učitavanja DLL-a iz legitimnih izvora (kao što su VMWare i Microsoft) kako bi izbjegao otkrivanje endpointa.”
Tačna početna tačka lanca infekcije je nejasna, ali kompanija za kibernetičku sigurnost, koja je otkrila kampanju u junu 2023. godine, rekla je da se nepoznati vektor koristi za isporuku ZIP arhivskog fajla koji sadrži Visual Basic skriptu.
VBScript je dizajniran da dohvati drugu ZIP arhivu sa servera napadača, kao i da ispusti batch fajl koji se koristi za utvrđivanje postojanosti malvera.
ZIP arhiva je spakovana sa dve komponente, JanelaRAT korisnim učitavanjem i legitimnim izvršnim fajlom — identity_helper.exe ili vmnat.exe — koji se koristi za pokretanje prve pomoću DLL bočnog učitavanja.
JanelaRAT, sa svoje strane, koristi string enkripciju i prelazi u stanje mirovanja kada je to potrebno kako bi se izbjegla analiza i detekcija. To je takođe jako modificirana varijanta BX RAT-a, koja je prvi put otkrivena 2014. godine.
Jedan od novih dodataka trojancu je njegova sposobnost da uhvati naslove Windowsa i pošalje ih hakerima, ali ne prije nego što registruje novoinficirani host na command-and-control server (C2). Ostale karakteristike JanelaRAT-a omogućavaju mu praćenje unosa mišem, evidentiranje pritisaka na tastere, snimanje ekrana i prikupljanje metapodataka sistema.
“JanelaRAT se isporučuje sa samo podskupom funkcija koje nudi BX RAT”, rekli su istraživači. “JanelaRAT developer nije uvezao funkcionalnost izvršavanja komandi shell-a, ili funkcije manipulacije datotekama i procesima.”
Detaljnija analiza izvornog koda otkrila je prisustvo nekoliko nizova na portugalskom, što ukazuje da je autor upoznat sa jezikom.
Veze sa LATAM-om dolaze iz referenci na organizacije koje rade u bankarskoj i decentralizovanoj finansijskoj vertikali i činjenice da je VBScript otpremanje na VirusTotal poteklo iz Čilea, Kolumbije i Meksika.
“Upotreba originalnih ili modifikovanih trojanaca za daljinski pristup (RAT) uobičajena je među hakerima koji djeluju u LATAM regiji”, rekli su istraživači. “JanelaRAT-ov fokus na prikupljanju finansijskih podataka LATAM-a i njegov način izdvajanja naslova prozora za prijenos naglašava njegovu ciljanu i skrivenu prirodu.”
Izvor: The Hacker News