JanelaRAT マルウェア

金融マルウェアである JanelaRAT として追跡されているこれまで知られていなかったマルウェアの脅威が、ラテンアメリカ (LATAM) 地域内の個人を標的にしていることがサイバーセキュリティの専門家によって記録されました。この脅威的なソフトウェアには、侵害された Windows ベースのシステムから機密データを抽出する機能があります。

JanelaRAT は主に、中南米内で活動する銀行および金融機関の金融および暗号通貨関連の情報を取得することを目的としています。このマルウェアは、VMWare や Microsoft などの正規の組織から供給される DLL サイドローディング方式を採用しています。この技術により、JanelaRAT はエンドポイントのセキュリティ対策による検出を回避できます。

JanelaRAT マルウェアの感染チェーン

感染連鎖の正確な開始点は今のところ確認されていません。しかし、2023 年 6 月にこのキャンペーンを特定したサイバーセキュリティ研究者は、Visual Basic スクリプトを含む ZIP アーカイブ ファイルを導入するために未知の方法が利用されたと報告しました。

VBScript は、攻撃者のサーバーから 2 番目の ZIP アーカイブを取得するように細心の注意を払って作成されています。さらに、侵害されたシステム上でマルウェアの永続化メカニズムを確立する目的を果たすバッチ ファイルもドロップされます。

ZIP アーカイブ内には、JanelaRAT ペイロードと正規の実行可能ファイル、つまり「identity_helper.exe」または「vmnat.exe」という 2 つの主要なコンポーネントがバンドルされています。これらの実行可能ファイルは、DLL サイドローディングの手法を通じて JanelaRAT ペイロードを起動するために使用されます。

JanelaRAT 自体には文字列暗号化が組み込まれており、必要に応じてアイドル状態に移行する機能を備えています。この機能は、分析や検出を回避するのに役立ちます。 JanelaRAT は、2014 年に最初に確認された有害な脅威である BX RAT の大幅に変更されたバージョンです。

JanelaRAT は特殊な侵入機能のリストを備えています

このトロイの木馬に組み込まれた新しい脅威機能の中には、ウィンドウのタイトルを取得して攻撃者に送信する機能があります。ただし、JanelaRAT はまず、新たに侵害されたホストと攻撃操作のコマンドアンドコントロール (C2) サーバーとの間の通信を確立します。 JanelaRAT は、マウス入力の監視、キーストロークの記録、スクリーンショットのキャプチャ、システム メタデータの収集などの追加機能も備えています。

ただし、研究者によると、JanelaRAT 内で観察される一連の機能は、BX RAT が提供する機能の一部にすぎません。どうやら、JanelaRAT の開発者は、シェル コマンドの実行、ファイルの操作、またはプロセスの管理のための機能を含めないことを選択したようです。

ソース コードを徹底的に調査した結果、ポルトガル語の文字列がいくつか存在することが判明しました。これは、脅威の作成者がこの特定の言語に精通している可能性を示しています。さらに、ラテンアメリカ (LATAM) 地域とのつながりは、銀行および分散型金融セクターで活動する企業への言及で見られます。 JanelaRAT に関連する VBScript の起源がチリ、コロンビア、メキシコにある可能性があるという事実もあります。