JanelaRAT-Malware

Cybersicherheitsspezialisten haben festgestellt, dass eine bisher unbekannte Malware-Bedrohung namens JanelaRAT, eine Finanz-Malware, auf Einzelpersonen in der Region Lateinamerika (LATAM) abzielt. Diese bedrohliche Software ist in der Lage, vertrauliche Daten aus kompromittierten Windows-basierten Systemen zu extrahieren.

JanelaRAT zielt in erster Linie auf die Beschaffung von Finanz- und Kryptowährungsinformationen für Banken und Finanzinstitute ab, die in LATAM tätig sind. Die Malware nutzt DLL-Sideloading-Methoden, die von legitimen Unternehmen wie VMWare und Microsoft stammen. Diese Technik ermöglicht es JanelaRAT, die Erkennung durch Endpunkt-Sicherheitsmaßnahmen zu vermeiden.

Die Infektionskette der JanelaRAT-Malware

Der genaue Ausgangspunkt der Infektionskette ist bislang nicht geklärt. Allerdings haben Cybersicherheitsforscher, die die Kampagne im Juni 2023 identifizierten, berichtet, dass eine unbekannte Methode verwendet wird, um eine ZIP-Archivdatei mit einem Visual Basic-Skript einzuführen.

Das VBScript wurde sorgfältig erstellt, um ein zweites ZIP-Archiv vom Server des Angreifers abzurufen. Darüber hinaus wird eine Batchdatei abgelegt, die dazu dient, den Persistenzmechanismus der Malware auf dem kompromittierten System zu etablieren.

Im ZIP-Archiv sind zwei Schlüsselkomponenten gebündelt: die JanelaRAT-Nutzlast und eine legitime ausführbare Datei, nämlich „identity_helper.exe“ oder „vmnat.exe“. Diese ausführbaren Dateien werden verwendet, um die JanelaRAT-Nutzlast durch die Technik des DLL-Seitenladens zu starten.

JanelaRAT selbst verfügt über eine String-Verschlüsselung und verfügt über die Fähigkeit, bei Bedarf in einen Ruhezustand überzugehen. Diese Funktionalität hilft dabei, sich der Analyse und Erkennung zu entziehen. JanelaRAT stellt eine deutlich modifizierte Version von BX RAT dar, einer schädlichen Bedrohung, die erstmals im Jahr 2014 identifiziert wurde.

JanelaRAT verfügt über eine spezielle Liste invasiver Fähigkeiten

Zu den neuen Bedrohungsfunktionen des Trojaners gehört die Fähigkeit, Fenstertitel zu erfassen und an die Bedrohungsakteure weiterzuleiten. Allerdings stellt JanelaRAT zunächst die Kommunikation zwischen dem neu kompromittierten Host und dem Command-and-Control (C2)-Server der Angriffsoperation her. JanelaRAT verfügt außerdem über zusätzliche Funktionalitäten, darunter die Möglichkeit, Mauseingaben zu überwachen, Tastatureingaben aufzuzeichnen, Screenshots zu erfassen und Systemmetadaten zu sammeln.

Den Forschern zufolge ist die Reihe der in JanelaRAT beobachteten Funktionen jedoch nur ein Teil dessen, was BX RAT bietet. Offenbar haben sich die Entwickler von JanelaRAT dafür entschieden, keine Funktionalitäten zum Ausführen von Shell-Befehlen, Bearbeiten von Dateien oder Verwalten von Prozessen einzubinden.

Eine gründliche Untersuchung des Quellcodes hat das Vorhandensein mehrerer Zeichenfolgen in Portugiesisch ergeben, was darauf hindeutet, dass die Ersteller der Bedrohung möglicherweise mit dieser speziellen Sprache vertraut sind. Darüber hinaus finden sich Bezüge zur Region Lateinamerika (LATAM) in Verweisen auf Unternehmen, die im Banken- und dezentralen Finanzsektor tätig sind. Es gibt auch die Tatsache, dass das mit JanelaRAT verbundene VBScript auf Chile, Kolumbien und Mexiko zurückgeführt werden konnte.