Usuários na América Latina (LATAM) são o alvo de um malware financeiro chamado JanelaRAT, que é capaz de capturar informações sensíveis de sistemas Microsoft Windows comprometidos.
"JanelaRAT visa principalmente dados financeiros e de criptomoedas de bancos e instituições financeiras da LATAM", disseram os pesquisadores da Zscaler ThreatLabz, Gaetano Pellegrino e Sudeep Singh, acrescentando que ele "abusa de técnicas de carregamento lateral de DLL de fontes legítimas (como VMWare e Microsoft) para evitar a detecção de endpoint."
O ponto de partida exato da cadeia de infecção não é claro, mas a empresa de cibersegurança, que descobriu a campanha em junho de 2023, disse que o vetor desconhecido é usado para entregar um arquivo de arquivo ZIP contendo um Visual Basic Script.
O VBScript é projetado para buscar um segundo arquivo ZIP do servidor dos invasores, bem como soltar um arquivo de lote usado para estabelecer a persistência do malware.
O arquivo ZIP é recheado com dois componentes, o payload do JanelaRAT e um executável legítimo - identity_helper.exe ou vmnat.exe - que é usado para lançar o primeiro por meio de carregamento lateral de DLL.
O JanelaRAT, por sua vez, emprega criptografia de string e passa para um estado ocioso quando necessário para evitar análise e detecção.
É também uma variante fortemente modificada de BX RAT, que foi descoberta pela primeira vez em 2014.
Uma das novas adições ao trojan é sua capacidade de capturar títulos de janelas e enviá-los aos atores da ameaça, mas não antes de registrar o host recém-infectado no servidor de comando e controle (C2).
Outras características do JanelaRAT permitem que ele rastreie entradas do mouse, registre teclas, tire capturas de tela e colete metadados do sistema.
"JanelaRAT vem com apenas um subconjunto dos recursos oferecidos pelo BX RAT", disseram os pesquisadores.
"O desenvolvedor do JanelaRAT não importou a funcionalidade de execução de comandos de shell, nem funcionalidades de manipulação de arquivos e processos."
Uma análise mais próxima do código-fonte revelou a presença de várias strings em português, indicando que o autor está familiarizado com a língua.
As ligações com a LATAM vêm de referências a organizações que operam na vertical de finanças e finanças descentralizadas e o fato de que os uploads de VBScript para VirusTotal originaram do Chile, Colômbia e México.
"O uso de Trojans de Acesso Remoto (RATs) originais ou modificados é comum entre os atores de ameaças que operam na região da LATAM", disseram os pesquisadores.
"O foco do JanelaRAT na colheita de dados financeiros da LATAM e seu método de extração de títulos de janelas para transmissão enfatiza sua natureza direcionada e furtiva."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...