Встречайте JanelaRAT: троянец удалённого доступа с португальским акцентом

[Artifact]

В Латинской Америке завёлся новый киберворишка, ориентированный на финансовые данные пользователей.
Новый финансовый троян под названием JanelaRAT, способный похищать конфиденциальные данные из скомпрометированных систем Windows, нацелился на пользователей Латинской Америки.
Согласно недавнему отчёту исследовательской компании Zscaler, JanelaRAT в основном охотится за финансовыми и криптовалютными данными банков и финансовых учреждений. Вредонос применяет технику DLL Sideloading, используя библиотеки легитимных приложений от VMware и Microsoft, чтобы обойти защиту.
Точное начало цепочки заражения неизвестно, однако специалисты Zscaler обнаружили вредоносную кампанию в июне 2023 года. Злоумышленники используют неизвестный вектор для доставки ZIP-архива, содержащего VBScript.
VBScript после активации загружает ещё один ZIP-архив с сервера атакующих и устанавливает пакетный файл для закрепления вредоноса в системе. В архиве находятся два компонента: полезная нагрузка JanelaRAT и легитимный исполняемый файл «identity_helper.exe» или «vmnat.exe», который и запускает троян через DLL Sideloading.
JanelaRAT использует шифрование строк и переходит в спящий режим, чтобы избежать анализа и обнаружения. Как сообщают исследователи, JanelaRAT — это сильно модифицированный вариант троянца BX RAT, выпущенного в 2014 году.
Одна из новых функций вредоноса — возможность перехватывать заголовки открытых окон и отсылать их злоумышленникам после регистрации на С2-сервере. JanelaRAT также отслеживает движения мыши, фиксирует нажатия клавиш, делает скриншоты и собирает метаданные системы.
«JanelaRAT обладает лишь подмножеством функций BX RAT. Разработчик не имплементировал выполнение команд оболочки или функции манипуляции файлами и процессами», — говорят исследователи.
Анализ исходного кода вредоноса показал наличие строк на португальском языке, указывающих на то, что автор как минимум им владеет. Правда португальский распространён далеко не только в Португалии — наберётся ещё с десяток стран, в которых большинство населения говорит на этом языке. Поэтому точно идентифицировать страну злоумышленника едва ли возможно.
Вредоносный VBScript, использованный в атаке, загружался на VirusTotal в основном из Чили, Колумбии и Мексики.
«Использование оригинальных или модифицированных RAT является распространённой практикой злоумышленников, действующих в регионе Латинской Америки. А фокус JanelaRAT на сборе финансовых данных и метод извлечения заголовков окон подчёркивают его целенаправленный и скрытный характер», — отмечают исследователи.