JanelaRAT атакует банки и криптокошельки Латинской Америки

JanelaRAT — это сложное malware, ориентированное на пользователей в Latin America, с особым акцентом на кражу financial и cryptocurrency information у банковских клиентов в регионе. По данным отчета, threat представляет собой модифицированную версию VH RAT, впервые замеченную в June 2023, и активно развивается за счет постоянных обновлений, направленных на усложнение infection chain и повышение эффективности malware.

Как начинается заражение

Первичный вектор attack обычно строится на social engineering. Злоумышленники используют вводящие в заблуждение email, стилизованные под уведомления о delivery invoices, после чего жертву перенаправляют на загрузку PDF file со ссылками, содержащими вредоносный payload.

Далее цепочка заражения усложняется и включает многоэтапные механизмы доставки. В них часто используются:

• compressed files с embedded scripts;
• VBScript;
• XML files;
• ZIP archives;
• BAT files.

Эти компоненты помогают реализовать DLL Sideloading и последующее развертывание JanelaRAT. Отдельно отмечается использование MSI files в качестве initial dropper — такой подход позволяет скрывать paths to files и поддерживать persistence. Этот dropper создает несколько ActiveX objects, а также формирует launch shortcuts и first-run indicator files для контроля этапов установки.

Что умеет JanelaRAT

Основная функциональность JanelaRAT связана с financial fraud. Malware способен отслеживать активность пользователя и взаимодействовать с системой в режиме real-time. Анализируемая версия, JanelaRAT 33, маскируется под приложение с pixel art graphics и использует .NET obfuscation tools, что существенно затрудняет code analysis.

Среди ключевых возможностей угрозы:

• сбор sensitive information;
• мониторинг банковских взаимодействий;
• выполнение tasks через C2 channel;
• динамическое построение domain на основе current dates;
• использование port 443 без TLS, что усиливает stealth properties.

Архитектура malware предполагает активное отслеживание user sessions и ведение activity log. Две основные subroutines отвечают за периодические HTTP beaconing и загрузку additional payload.

Как JanelaRAT обходится от защиты

JanelaRAT генерирует уникальные identifiers и параметры, чтобы определить наличие banking security software и адаптировать свое поведение. При обнаружении критически важных банковских операций, в частности через проверку window titles, вредоносное ПО может выполнять оперативный перехват, потенциально получая credentials или внедряя malicious commands.

Для сбора банковских данных используется false overlay, имитирующий legitimate interfaces. Такой механизм фактически блокирует взаимодействие пользователя с настоящим окном и запрашивает confidential data через вводящие в заблуждение сообщения.

Отдельное место занимают advanced anti-analysis techniques. Они позволяют JanelaRAT определять, находится ли malware под наблюдением или работает в isolated environments, и менять поведение, чтобы избежать detection.

Закрепление в системе и география атак

Persistence обеспечивается с помощью scripts в Windows Startup folder, благодаря чему malware запускается при каждом входе пользователя в систему — без каких-либо предупреждений.

Основными targets угрозы являются банковские клиенты в Brazil и Mexico, где фиксируется наиболее заметная activity.

Вывод

JanelaRAT — это постоянно эволюционирующая threat, нацеленная на обход detection, финансовое мошенничество и эксплуатацию пользователей. В отчете отдельно подчеркивается, что для снижения риска организациям следует применять меры защиты, включая blocking dynamic DNS services at the perimeter, чтобы нарушить C2 communications и осложнить работу malware.

JanelaRAT демонстрирует, как современные banking trojans сочетают social engineering, многоэтапную доставку и anti-analysis methods, чтобы удерживаться в инфраструктуре жертвы и оставаться незамеченными.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.