拉丁美洲(LATAM)的用户是金融恶意软件的目标JanelaRAT能够从受损的MicrosoftWindows系统中捕获敏感信息。
ZscalerThreatLabz研究人员GaetanoPellegrino和SudeepSingh说:“JanelaRAT主要针对来自LATAM银行和金融机构的金融和加密货币数据。”
感染链的确切起点尚不清楚,但在年6月发现该活动的网络安全公司表示,未知向量用于传递包含VisualBasic脚本的ZIP存档文件。
VBScript旨在从攻击者的服务器中获取第二个ZIP存档,并丢弃用于建立恶意软件持久性的批处理文件。
ZIP存档包含两个组件,JanelaRAT有效负载和一个合法的可执行文件-identity_helper.exe或vmnat.exe-用于通过DLL侧加载来启动前者。
JanelaRAT则采用字符串加密,并在必要时转换为空闲状态,以避免分析和检测。它也是年首次发现的BXRAT的一种重修饰变体。
特洛伊木马的新增功能之一是它能够捕获windows标题并将其发送给威胁参与者,但不能在将新感染的主机注册到命令与控制(C2)服务器之前。JanelaRAT的其他功能允许它跟踪鼠标输入、记录击键、截屏和收获系统元数据。
研究人员说:“JanelaRAT仅具有BXRAT提供的一部分功能。”“JanelaRAT开发人员没有导入shell命令执行功能或文件和处理操作功能。”
对源代码进行了仔细的分析,发现葡萄牙语中存在几个字符串,表明作者熟悉该语言。
与LATAM的链接来自对在银行和分散金融垂直领域运营的组织的引用,以及VBScript上传到VirusTotal的事实来自智利,哥伦比亚和墨西哥。
研究人员说:“在LATAM地区活动的威胁行为者中,使用原始或改良的商品远程访问木马(RATs)很常见。”“JanelaRAT专注于收集LATAM财务数据及其提取窗口标题以进行传输的方法强调了其针对性和隐身的性质。”
——本文摘自天途情报APP