Novo Malware Financeiro 'JanelaRAT' Mira Usuários da América Latina
14 de Agosto de 2023

Usuários na América Latina (LATAM) são o alvo de um malware financeiro chamado JanelaRAT, que é capaz de capturar informações sensíveis de sistemas Microsoft Windows comprometidos.

"JanelaRAT visa principalmente dados financeiros e de criptomoedas de bancos e instituições financeiras da LATAM", disseram os pesquisadores da Zscaler ThreatLabz, Gaetano Pellegrino e Sudeep Singh, acrescentando que ele "abusa de técnicas de carregamento lateral de DLL de fontes legítimas (como VMWare e Microsoft) para evitar a detecção de endpoint."

O ponto de partida exato da cadeia de infecção não é claro, mas a empresa de cibersegurança, que descobriu a campanha em junho de 2023, disse que o vetor desconhecido é usado para entregar um arquivo de arquivo ZIP contendo um Visual Basic Script.

O VBScript é projetado para buscar um segundo arquivo ZIP do servidor dos invasores, bem como soltar um arquivo de lote usado para estabelecer a persistência do malware.

O arquivo ZIP é recheado com dois componentes, o payload do JanelaRAT e um executável legítimo - identity_helper.exe ou vmnat.exe - que é usado para lançar o primeiro por meio de carregamento lateral de DLL.

O JanelaRAT, por sua vez, emprega criptografia de string e passa para um estado ocioso quando necessário para evitar análise e detecção.

É também uma variante fortemente modificada de BX RAT, que foi descoberta pela primeira vez em 2014.

Uma das novas adições ao trojan é sua capacidade de capturar títulos de janelas e enviá-los aos atores da ameaça, mas não antes de registrar o host recém-infectado no servidor de comando e controle (C2).

Outras características do JanelaRAT permitem que ele rastreie entradas do mouse, registre teclas, tire capturas de tela e colete metadados do sistema.

"JanelaRAT vem com apenas um subconjunto dos recursos oferecidos pelo BX RAT", disseram os pesquisadores.

"O desenvolvedor do JanelaRAT não importou a funcionalidade de execução de comandos de shell, nem funcionalidades de manipulação de arquivos e processos."

Uma análise mais próxima do código-fonte revelou a presença de várias strings em português, indicando que o autor está familiarizado com a língua.

As ligações com a LATAM vêm de referências a organizações que operam na vertical de finanças e finanças descentralizadas e o fato de que os uploads de VBScript para VirusTotal originaram do Chile, Colômbia e México.

"O uso de Trojans de Acesso Remoto (RATs) originais ou modificados é comum entre os atores de ameaças que operam na região da LATAM", disseram os pesquisadores.

"O foco do JanelaRAT na colheita de dados financeiros da LATAM e seu método de extração de títulos de janelas para transmissão enfatiza sua natureza direcionada e furtiva."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...