新金融恶意软件“JanelaRAT”针对拉丁美洲用户

拉丁美洲 (LATAM) 的用户是名为JanelaRAT的金融恶意软件的目标，该恶意软件能够从受感染的 Microsoft Windows 系统捕获敏感信息。

Zscaler ThreatLabz 研究人员 Gaetano Pellegrino 和 Sudeep Singh表示，“JanelaRAT 主要针对来自拉丁美洲银行和金融机构的金融和加密货币数据”，并补充说它“滥用来自合法来源（如 VMWare 和 Microsoft）的 DLL 旁加载技术来逃避端点检测。”

感染链的确切起点尚不清楚，但这家于 2023 年 6 月发现该活动的网络安全公司表示，未知向量用于传递包含 Visual Basic 脚本的 ZIP 存档文件。

VBScript 被设计为从攻击者的服务器获取第二个 ZIP 存档，并删除用于建立恶意软件持久性的批处理文件。

ZIP 存档包含两个组件：JanelaRAT 有效负载和合法的可执行文件（identity_helper.exe 或 vmnat.exe），后者用于通过 DLL 侧面加载来启动前者。

JanelaRAT 则采用字符串加密，并在必要时转换为空闲状态以避免分析和检测。它也是 BX RAT 的一个经过重大修改的变种，BX RAT 于 2014 年首次被发现。

该木马的新增功能之一是它能够捕获 Windows 标题并将其发送给威胁参与者，但前提是在命令和控制 (C2) 服务器上注册新感染的主机。JanelaRAT 的其他功能允许它跟踪鼠标输入、记录击键、截取屏幕截图和收集系统元数据。

研究人员表示：“JanelaRAT 只附带了 BX RAT 所提供功能的一个子集。” “JanelaRAT 开发人员没有导入 shell 命令执行功能，或文件和进程操作功能。”

对源代码的仔细分析发现存在几个葡萄牙语字符串，表明作者熟悉该语言。

到 LATAM 的链接来自对银行和去中心化金融垂直领域运营的组织的引用，以及上传到 VirusTotal 的 VBScript 源自智利、哥伦比亚和墨西哥的事实。

研究人员表示： “在拉丁美洲地区活动的威胁行为者中，使用原始或修改后的商品远程访问木马 (RAT) 很常见。” “JanelaRAT 专注于收集拉丁美洲金融数据及其提取窗口标题进行传输的方法，这凸显了其针对性和隐秘性。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7741.html