Latin Amerika’daki (LATAM) kullanıcılar, adı verilen finansal bir kötü amaçlı yazılımın hedefidir. JanelaSıçan güvenliği ihlal edilmiş Microsoft Windows sistemlerinden hassas bilgileri yakalama yeteneğine sahiptir.
Zscaler ThreatLabz araştırmacıları Gaetano Pellegrino ve Sudeep Singh, “JanelaRAT esas olarak LATAM bankası ve finans kurumlarından gelen finansal ve kripto para birimi verilerini hedefliyor,” diyerek “son nokta tespitinden kaçınmak için meşru kaynaklardan (VMWare ve Microsoft gibi) DLL yan yükleme tekniklerini kötüye kullanıyor” dedi.
Bulaşma zincirinin kesin başlangıç noktası belirsiz, ancak kampanyayı Haziran 2023’te keşfeden siber güvenlik şirketi, bilinmeyen vektörün Visual Basic Komut Dosyası içeren bir ZIP arşiv dosyasını teslim etmek için kullanıldığını söyledi.
VBScript, saldırganların sunucusundan ikinci bir ZIP arşivi almak ve kötü amaçlı yazılımın kalıcılığını sağlamak için kullanılan bir toplu iş dosyasını bırakmak üzere tasarlanmıştır.
ZIP arşivi, JanelaRAT yükü ve DLL yandan yükleme yoluyla eskisini başlatmak için kullanılan yasal bir yürütülebilir dosya —identity_helper.exe veya vmnat.exe- olmak üzere iki bileşenle doludur.
JanelaRAT, dizi şifreleme kullanır ve gerektiğinde analiz ve tespitten kaçınmak için boşta durumuna geçer. Aynı zamanda, ilk olarak 2014 yılında keşfedilen, BX RAT’ın büyük ölçüde değiştirilmiş bir çeşididir.
Truva atına yapılan yeni eklemelerden biri, Windows başlıklarını yakalama ve bunları tehdit aktörlerine gönderme yeteneğidir, ancak yeni bulaşan ana bilgisayarı komut ve kontrol (C2) sunucusuna kaydetmeden önce bunu yapamaz. JanelaRAT’ın diğer özellikleri, fare girişlerini izlemesine, tuş vuruşlarını günlüğe kaydetmesine, ekran görüntüleri almasına ve sistem meta verilerini toplamasına izin verir.
Araştırmacılar, “JanelaRAT, BX RAT tarafından sunulan özelliklerin yalnızca bir alt kümesiyle birlikte gelir” dedi. “JanelaRAT geliştiricisi, kabuk komutlarını yürütme işlevini veya dosyaları ve işlemleri işleme işlevlerini içe aktarmadı.”
Kaynak kodun daha yakından incelenmesi, Portekizce’de yazarın dile aşina olduğunu gösteren birkaç dizenin varlığını ortaya çıkardı.
LATAM’a bağlantılar, bankacılık ve merkezi olmayan finans dikeylerinde faaliyet gösteren kuruluşlara yapılan referanslardan ve VBScript’in VirusTotal’a yüklenmesinin Şili, Kolombiya ve Meksika’dan kaynaklandığı gerçeğinden gelir.
Araştırmacılar, “Orijinal veya değiştirilmiş emtia Uzaktan Erişim Truva Atlarının (RAT’ler) kullanımı, LATAM bölgesinde faaliyet gösteren tehdit aktörleri arasında yaygındır” dedi. “JanelaRAT’ın LATAM mali verilerini toplamaya odaklanması ve aktarım için pencere başlıklarını çıkarma yöntemi, onun hedeflenmiş ve sinsi doğasının altını çiziyor.”