Janela RAT: новая угроза для пользователей Латинской Америки
Исследователи кибербезопасности выявили очередной вариант вредоносного ПО — Janela RAT, который позиционируется как эволюция BX RAT. Основной целью злоумышленников являются пользователи в Латинской Америке. Новая кампания отличается сложной реализацией и акцентом на эксплуатацию браузеров на базе Chromium.
Технические особенности Janela RAT
Janela поставляется в комплекте с вредоносным browser extension, который служит для кражи конфиденциальных данных пользователя. Для распространения и запуска вредоноса применяется комплекс файлов различного типа:
- пакетные сценарии DOS;
- ZIP-архивы;
- исполняемый файл с именем LPrKz6y2fG.exe, написанный на GoLang.
ZIP-архив содержит ключевые компоненты атаки: расширение для браузера и именно исполняемый файл Janela RAT. Интересная деталь — пароль к ZIP-архиву зашит непосредственно в исполняемый файл, что служит дополнительным уровнем запутывания и усложняет анализ вредоноса.
Механизм развертывания и функциональность
Процесс развертывания включает в себя автоматизированные скрипты, которые:
- облегчают распаковку ZIP-файла;
- создают и запускают PowerShell-скрипт, выполняющий двоичный файл на GoLang.
Взаимодействие Janela RAT с атакующими осуществляется через сервер управления (C2) по протоколу WebSocket. При этом используется Chrome.runtime API, что позволяет вредоносу эффективно выполнять полученные команды и обходить базовые механизмы защиты.
Для обработки команд с C2 встроена специализированная функциональность, которая обеспечивает выполнение команд и сбор результатов с помощью исполняемого файла.
Обфускация и устойчивость
Одной из характерных особенностей Janela RAT является обфусцированный код. Для усложнения анализа злоумышленники применяют средства Eziriz .NET reactor. Несмотря на это, специалисты кибербезопасности уже разработали методы деобфусцирования двоичного кода Janela.
Конфигурация вредоносной программы включает список ключевых хранилищ, необходимых для поддержания устойчивой связи с C2-сервером. Такой многоуровневый и высокоорганизованный подход к развертыванию демонстрирует намерения злоумышленников сохранить контроль над скомпрометированными системами и избегать обнаружения.
Выводы
Janela RAT является примером современной, технически сложной угрозы, нацеленной на пользователей Латинской Америки. Использование вредоносного расширения, продвинутых методов обработки команд и специализированных инструментов обфускации свидетельствует о высокой степени подготовки злоумышленников.
Рекомендуется своевременно обновлять защитные решения и принимать дополнительные меры для защиты от подобных угроз, особенно если вы работаете с браузерами на основе Chromium.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Janela RAT: сложная кампания атак с использованием вредоносных расширений".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.