Les utilisateurs en Amérique latine (LATAM) sont la cible d’un malware financier appelé JanelaRAT qui est capable de capturer des informations sensibles à partir de systèmes Microsoft Windows compromis.
« JanelaRAT cible principalement les données financières et de crypto-monnaie des banques et institutions financières LATAM », ont déclaré les chercheurs de Zscaler ThreatLabz, Gaetano Pellegrino et Sudeep Singh, ajoutant qu’il « abuse des techniques de chargement latéral de DLL provenant de sources légitimes (comme VMWare et Microsoft) pour échapper à la détection des terminaux ».
Le point de départ exact de la chaîne d’infection n’est pas clair, mais la société de cybersécurité, qui a découvert la campagne en juin 2023, a déclaré que le vecteur inconnu est utilisé pour livrer un fichier d’archive ZIP contenant un script Visual Basic.
Le VBScript est conçu pour récupérer une seconde archive ZIP du serveur des attaquants ainsi que déposer un fichier batch utilisé pour établir la persistance du malware.
L’archive ZIP contient deux composants, la charge utile JanelaRAT et un exécutable légitime – identity_helper.exe ou vmnat.exe – qui est utilisé pour lancer le premier au moyen du chargement latéral de DLL.
JanelaRAT, pour sa part, utilise le cryptage de chaîne et passe à un état inactif si nécessaire pour éviter l’analyse et la détection. C’est aussi une variante fortement modifiée de BX RAT, qui a été découverte pour la première fois en 2014.
L’un des nouveaux ajouts au cheval de Troie est sa capacité à capturer les titres Windows et à les envoyer aux acteurs de la menace, mais pas avant d’avoir enregistré l’hôte nouvellement infecté auprès du serveur de commande et de contrôle (C2). D’autres fonctionnalités de JanelaRAT lui permettent de suivre les entrées de la souris, d’enregistrer les frappes au clavier, de prendre des captures d’écran et de récolter les métadonnées du système.
« JanelaRAT n’est livré qu’avec un sous-ensemble des fonctionnalités offertes par BX RAT », ont déclaré les chercheurs. « Le développeur JanelaRAT n’a pas importé la fonctionnalité d’exécution des commandes shell, ni les fonctionnalités de manipulation des fichiers et des processus. »
Une analyse plus approfondie du code source a révélé la présence de plusieurs chaînes en portugais, indiquant que l’auteur est familier avec la langue.
Les liens vers LATAM proviennent de références à des organisations opérant dans les secteurs de la banque et de la finance décentralisée et du fait que les téléchargements VBScript sur VirusTotal provenaient du Chili, de Colombie et du Mexique.
« L’utilisation de chevaux de Troie d’accès à distance (RAT) originaux ou modifiés est courante parmi les acteurs de la menace opérant dans la région LATAM », ont déclaré les chercheurs. « L’accent mis par JanelaRAT sur la collecte de données financières LATAM et sa méthode d’extraction des titres de fenêtre pour la transmission souligne sa nature ciblée et furtive. »
