Logiciel malveillant JanelaRAT

Une menace de logiciel malveillant jusque-là inconnue suivie sous le nom de JanelaRAT, un logiciel malveillant financier, a été enregistrée par des spécialistes de la cybersécurité comme ciblant des individus dans la région de l'Amérique latine (LATAM). Ce logiciel menaçant a la capacité d'extraire des données sensibles des systèmes Windows qui ont été compromis.

JanelaRAT est principalement orientée vers l'acquisition d'informations financières et liées à la crypto-monnaie pour les banques et les institutions financières opérant au sein de LATAM. Le logiciel malveillant utilise des méthodes de chargement latéral de DLL provenant d'entités légitimes telles que VMWare et Microsoft. Cette technique permet à JanelaRAT d'éviter la détection par les mesures de sécurité des terminaux.

La chaîne d'infection du malware JanelaRAT

Le point initial exact de la chaîne d'infection n'a pas été confirmé jusqu'à présent. Cependant, les chercheurs en cybersécurité qui ont identifié la campagne en juin 2023 ont signalé qu'une méthode inconnue est utilisée pour introduire un fichier d'archive ZIP contenant un script Visual Basic.

Le VBScript a été méticuleusement conçu pour récupérer une deuxième archive ZIP du serveur des attaquants. De plus, il dépose un fichier de commandes qui sert à établir le mécanisme de persistance du logiciel malveillant sur le système compromis.

Dans l'archive ZIP, deux composants clés sont regroupés : la charge utile JanelaRAT et un exécutable légitime, à savoir "identity_helper.exe" ou "vmnat.exe". Ces exécutables sont utilisés pour lancer la charge utile JanelaRAT via la technique de chargement latéral DLL.

JanelaRAT intègre lui-même le cryptage de chaîne et possède la capacité de passer à un état inactif si nécessaire. Cette fonctionnalité aide à éluder l'analyse et la détection. JanelaRAT représente une version considérablement modifiée de BX RAT, une menace nuisible initialement identifiée en 2014.

JanelaRAT possède une liste spécialisée de capacités invasives

Parmi les nouvelles fonctions menaçantes intégrées au cheval de Troie figure sa capacité à saisir les titres des fenêtres et à les transmettre aux acteurs de la menace. Cependant, JanelaRAT établit d'abord la communication entre l'hôte nouvellement compromis et le serveur de commande et de contrôle (C2) de l'opération d'attaque. JanelaRAT propose également des fonctionnalités supplémentaires, notamment la possibilité de surveiller les entrées de la souris, d'enregistrer les frappes au clavier, de capturer des captures d'écran et de collecter les métadonnées du système.

Cependant, selon les chercheurs, la gamme de fonctionnalités observées dans JanelaRAT n'est qu'un sous-ensemble de ce que propose BX RAT. Apparemment, les développeurs de JanelaRAT ont choisi de n'inclure aucune fonctionnalité pour exécuter des commandes shell, manipuler des fichiers ou gérer des processus.

Un examen approfondi du code source a dévoilé la présence de plusieurs chaînes en portugais, indiquant une possibilité que les créateurs de la menace soient familiers avec cette langue particulière. En outre, les liens avec la région Amérique latine (LATAM) se retrouvent dans les références à des entités actives dans les secteurs de la banque et de la finance décentralisée. Il y a aussi le fait que le VBScript associé à JanelaRAT pourrait être retracé au Chili, en Colombie et au Mexique.