ผู้ใช้งานในภูมิภาคลาตินอเมริกา (LATAM) กำลังตกเป็นเป้าหมายของมัลแวร์ที่มีเป้าหมายทางด้านการเงินชื่อ JanelaRAT ซึ่งสามารถดักจับข้อมูลที่มีความสำคัญจาก Microsoft Windows ของเหยื่อที่ถูกโจมตีได้
นักวิจัยจาก Zscaler ThreatLabz ชื่อ Gaetano Pellegrino และ Sudeep Singh ระบุว่า "JanelaRAT มีเป้าหมายหลักคือข้อมูลทางการเงิน และสกุลเงินดิจิทัลจากธนาคาร และสถาบันการเงินในภูมิภาคลาตินอเมริกา (LATAM) ด้วยการใช้เทคนิค DLL side-loading เพื่อหลีกเลี่ยงการตรวจจับบนอุปกรณ์ของเหยื่อ"
จุดเริ่มต้นของการโจมตียังไม่ชัดเจน แต่บริษัทด้านความปลอดภัยทางไซเบอร์พบแคมเปญการโจมตีในเดือนมิถุนายน 2023 จากการโจมตีด้วยการส่งไฟล์ ZIP ที่ภายในมีสคริปต์ Visual Basic ไปยังเหยื่อ
VBScript ถูกพัฒนาขึ้นเพื่อดึงข้อมูลไฟล์ ZIP อีกชุดหนึ่งจากเซิร์ฟเวอร์ของผู้โจมตี และปล่อยไฟล์ batch เพื่อสร้างการแฝงตัวของมัลแวร์ในระบบ
โดยภายในไฟล์ ZIP จะมีส่วนประกอบสองอย่าง คือ JanelaRAT payload และไฟล์ exe ที่ถูกต้อง (identity_helper.exe หรือ vmnat.exe) ซึ่งถูกใช้เพื่อเปิดใช้งาน JanelaRAT โดยใช้วิธี DLL side-loading
JanelaRAT ใช้การ encryption string และเข้าสู่สถานะ idle state เมื่อจำเป็น เพื่อหลีกเลี่ยงการถูกวิเคราะห์ และการตรวจจับ โดย JanelaRAT เป็นเวอร์ชันที่ถูกปรับแก้ไขของ BX RAT ซึ่งถูกพบครั้งแรกในปี 2014
หนึ่งในคุณสมบัติใหม่ของโทรจัน คือความสามารถในการจับภาพของ Windows titles และส่งไปยังผู้โจมตี ก่อนที่จะทำการลงทะเบียนเครื่องโฮสต์ที่ถูกโจมตีกับ command-and-control (C2) server คุณสมบัติอื่น ๆ ของ JanelaRAT คือการติดตามการคลิกเมาส์ บันทึกแป้นพิมพ์ บันทึกภาพหน้าจอ และเก็บรวบรวมข้อมูลเกี่ยวกับระบบ
นักวิจัยระบุว่า "JanelaRAT ใช้ features เพียงบางส่วน ของ BX RAT นักพัฒนา JanelaRAT ไม่ได้นำเข้าฟังก์ชันการทำงานของ shell commands หรือความสามารถในการจัดการไฟล์มาใช้"
หลังจากการวิเคราะห์ตัวอย่างของโค้ดต้นฉบับอย่างละเอียด พบว่ามี strings หลายรายการเป็นภาษาโปรตุเกสซึ่งแสดงให้เห็นว่าผู้พัฒนาคุ้นเคยกับภาษานี้
ความเชื่อมโยงกับภูมิภาคลาตินอเมริกา (LATAM) มาจากการอ้างอิงถึงองค์กรที่ดำเนินงานในด้านการธนาคาร และการเงินที่ไม่เป็นทางการ และการอัปโหลด VBScript ไปยัง VirusTotal ที่มาจากประเทศชิลี โคลอมเบีย และเม็กซิโก
นักวิจัยระบุว่า "การใช้ Remote Access Trojans (RATs) ดั้งเดิม หรือที่ถูกปรับเเต่งเเล้ว ถูกพบบ่อยของการโจมตีในภูมิภาค LATAM ซึ่ง JanelaRAT เน้นไปยังการเก็บข้อมูลทางการเงินใน LATAM และวิธีการ extracting window titles เพื่อส่งข้อมูลยืนยันถึงลักษณะของเหยื่อที่เป็นเป้าหมาย"
ที่มา : Thehackernews
You must be logged in to post a comment.