Malware JanelaRAT

Los especialistas en seguridad cibernética han registrado que una amenaza de malware previamente desconocida rastreada como JanelaRAT, un malware financiero, se dirige a personas dentro de la región de América Latina (LATAM). Este software amenazante tiene la capacidad de extraer datos confidenciales de los sistemas basados en Windows que se han visto comprometidos.

JanelaRAT está dirigida principalmente a la adquisición de información financiera y relacionada con criptomonedas para bancos e instituciones financieras que operan dentro de LATAM. El malware emplea métodos de carga lateral de DLL provenientes de entidades legítimas como VMWare y Microsoft. Esta técnica permite a JanelaRAT evitar la detección por parte de las medidas de seguridad de los endpoints.

La cadena de infección del malware JanelaRAT

El punto inicial exacto de la cadena de infección no se ha confirmado hasta el momento. Sin embargo, los investigadores de seguridad cibernética que identificaron la campaña en junio de 2023 informaron que se utiliza un método desconocido para introducir un archivo ZIP que contiene un script de Visual Basic.

El VBScript se ha diseñado meticulosamente para recuperar un segundo archivo ZIP del servidor de los atacantes. Además, suelta un archivo por lotes que sirve para establecer el mecanismo de persistencia del malware en el sistema comprometido.

Dentro del archivo ZIP, se agrupan dos componentes clave: la carga útil de JanelaRAT y un ejecutable legítimo, a saber, 'identity_helper.exe' o 'vmnat.exe'. Estos ejecutables se emplean para lanzar la carga útil de JanelaRAT a través de la técnica de carga lateral de DLL.

JanelaRAT en sí incorpora cifrado de cadenas y posee la capacidad de pasar a un estado inactivo cuando sea necesario. Esta funcionalidad ayuda a eludir el análisis y la detección. JanelaRAT representa una versión significativamente modificada de BX RAT, una amenaza dañina que se identificó inicialmente en 2014.

JanelaRAT posee una lista especializada de capacidades invasivas

Entre las nuevas funciones amenazantes incorporadas en el troyano está su capacidad para apoderarse de los títulos de las ventanas y transmitirlos a los atacantes. Sin embargo, JanelaRAT primero establece la comunicación entre el host recientemente comprometido y el servidor de comando y control (C2) de la operación de ataque. JanelaRAT también cuenta con funcionalidades adicionales, incluida la capacidad de monitorear las entradas del mouse, registrar pulsaciones de teclas, capturar capturas de pantalla y recopilar metadatos del sistema.

Sin embargo, según los investigadores, la variedad de características observadas en JanelaRAT es solo un subconjunto de lo que ofrece BX RAT. Aparentemente, los desarrolladores de JanelaRAT optaron por no incluir ninguna funcionalidad para ejecutar comandos de shell, manipular archivos o administrar procesos.

Un examen exhaustivo del código fuente reveló la presencia de varias cadenas en portugués, lo que indica la posibilidad de que los creadores de la amenaza estén familiarizados con este idioma en particular. Además, las conexiones con la región de América Latina (LATAM) se encuentran en referencias a entidades activas en los sectores bancario y financiero descentralizado. También está el hecho de que el VBScript asociado con JanelaRAT podría rastrearse hasta Chile, Colombia y México.