JanelaRAT 恶意软件瞄准拉美银行,2025 年巴西遭 1.4 万次攻击
- 浏览次数 128
- 喜欢 0
HackerNews 编译,转载请注明出处:
巴西和墨西哥等拉美国家的银行和金融机构持续遭受名为JanelaRAT的恶意软件家族攻击。
JanelaRAT是BX RAT的修改版本,以窃取与特定金融机构关联的金融和加密货币数据闻名,同时追踪鼠标输入、记录按键、截屏并收集系统元数据。
卡巴斯基今日发布的报告中表示:"这些木马的关键区别之一是,JanelaRAT使用自定义标题栏检测机制识别受害者浏览器中的目标网站并执行恶意操作。JanelaRAT活动背后的威胁行为体通过添加新功能持续更新感染链和恶意软件版本。"
这家俄罗斯网络安全厂商收集的遥测数据显示,2025年巴西记录多达14739次攻击,墨西哥11695次。目前尚不清楚其中多少次导致成功入侵。
JanelaRAT于2023年6月由Zscaler首次在野外检测到,利用包含Visual Basic脚本(VBScript)的ZIP档案下载第二个ZIP文件,后者附带合法可执行文件和DLL载荷。最后阶段采用DLL侧加载技术启动木马。
毕马威2025年7月发布的后续分析指出,该恶意软件通过伪装成合法软件的流氓MSI安装程序分发,托管于GitLab等可信平台。涉及该恶意软件的攻击主要针对智利、哥伦比亚和墨西哥。
毕马威当时指出:"执行后,安装程序启动多阶段感染过程,使用Go、PowerShell和batch编写的编排脚本。这些脚本解压包含RAT可执行文件、基于Chromium的恶意浏览器扩展和支持组件的ZIP档案。"
脚本还设计用于识别已安装的Chromium内核浏览器,并隐蔽修改其启动参数(如"--load-extension"命令行开关)以安装扩展。浏览器插件随后收集系统信息、cookie、浏览历史、已安装扩展和标签元数据,并根据URL模式匹配触发特定操作。
卡巴斯基记录的最新攻击链显示,伪装成未付发票的钓鱼邮件诱骗收件人点击链接下载PDF文件,导致下载ZIP档案,启动上述涉及DLL侧加载安装JanelaRAT的攻击链。
至少自2024年5月起,JanelaRAT活动已从Visual Basic脚本转向MSI安装程序,后者作为恶意软件投放器使用DLL侧加载,并通过在启动文件夹创建指向可执行文件的Windows快捷方式(LNK)在主机上建立持久化。
执行后,恶意软件通过TCP套接字与命令控制(C2)服务器建立通信,注册成功感染,并监控受害者活动以拦截敏感银行交互。
JanelaRAT的主要目标是获取活动窗口标题,并与硬编码的金融机构列表比对。若匹配,恶意软件等待12秒后打开专用C2通道,执行从服务器接收的恶意任务。部分支持命令包括:
-
- 向C2服务器发送截图
- 裁剪特定屏幕区域并外泄图像
- 全屏显示图像(如"正在配置Windows更新,请稍候"),通过虚假覆盖层冒充银行主题对话框收集凭证
- 捕获按键
- 模拟DOWN、UP和TAB等键盘操作进行导航
- 移动光标并模拟点击
- 执行强制系统关机
- 使用"cmd.exe"和PowerShell命令或脚本运行命令
- 操纵Windows任务管理器隐藏其窗口
- 标记反欺诈系统存在
- 发送系统元数据
- 检测沙箱和自动化工具
卡巴斯基表示:"恶意软件通过计算自上次用户输入以来的经过时间,确定受害者机器是否已闲置超过10分钟。若闲置期超过10分钟,恶意软件通过发送相应消息通知C2。用户活动时,再次通知威胁行为体。这使得跟踪用户存在和常规以安排可能的远程操作成为可能。"
"该变种代表行为体能力的重大进步,结合多通信渠道、全面受害者监控、交互式覆盖层、输入注入和强大的远程控制功能。恶意软件专门设计用于最小化用户可见性,并在检测到反欺诈软件时调整其行为。"
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文