Встречайте JanelaRAT: троянец удалённого доступа с португальским акцентом

Новый финансовый троян под названием JanelaRAT, способный похищать конфиденциальные данные из скомпрометированных систем Windows, нацелился на пользователей Латинской Америки.

Согласно недавнему отчёту исследовательской компании Zscaler, JanelaRAT в основном охотится за финансовыми и криптовалютными данными банков и финансовых учреждений. Вредонос применяет технику DLL Sideloading, используя библиотеки легитимных приложений от VMware и Microsoft, чтобы обойти защиту.

Точное начало цепочки заражения неизвестно, однако специалисты Zscaler обнаружили вредоносную кампанию в июне 2023 года. Злоумышленники используют неизвестный вектор для доставки ZIP-архива, содержащего VBScript.

VBScript после активации загружает ещё один ZIP-архив с сервера атакующих и устанавливает пакетный файл для закрепления вредоноса в системе. В архиве находятся два компонента: полезная нагрузка JanelaRAT и легитимный исполняемый файл «identity_helper.exe» или «vmnat.exe», который и запускает троян через DLL Sideloading.

JanelaRAT использует шифрование строк и переходит в спящий режим, чтобы избежать анализа и обнаружения. Как сообщают исследователи, JanelaRAT — это сильно модифицированный вариант троянца BX RAT, выпущенного в 2014 году.

Одна из новых функций вредоноса — возможность перехватывать заголовки открытых окон и отсылать их злоумышленникам после регистрации на С2-сервере. JanelaRAT также отслеживает движения мыши, фиксирует нажатия клавиш, делает скриншоты и собирает метаданные системы.

«JanelaRAT обладает лишь подмножеством функций BX RAT. Разработчик не имплементировал выполнение команд оболочки или функции манипуляции файлами и процессами», — говорят исследователи.

Анализ исходного кода вредоноса показал наличие строк на португальском языке, указывающих на то, что автор как минимум им владеет. Правда португальский распространён далеко не только в Португалии — наберётся ещё с десяток стран, в которых большинство населения говорит на этом языке. Поэтому точно идентифицировать страну злоумышленника едва ли возможно.

Вредоносный VBScript, использованный в атаке, загружался на VirusTotal в основном из Чили, Колумбии и Мексики.

«Использование оригинальных или модифицированных RAT является распространённой практикой злоумышленников, действующих в регионе Латинской Америки. А фокус JanelaRAT на сборе финансовых данных и метод извлечения заголовков окон подчёркивают его целенаправленный и скрытный характер», — отмечают исследователи.