В июне 2023 года исследовательская группа Zscaler ThreatLabz обнаружила угрозу, направленную на пользователей FinTech в регионе LATAM. JanelaRAT использует несколько тактик, техник и процедур (TTP), таких как боковая загрузка DLL, динамическая инфраструктура C2 и многоступенчатая атака.
- Вредоносная программа, участвующая в этой кампании, представляет собой сильно модифицированный вариант BX RAT.
- По состоянию на июнь 2023 года JanelaRAT в основном нацелена на финансовые и криптовалютные данные банков и финансовых учреждений LATAM.
- JanelaRAT обладает механизмом чувствительности к заголовкам окон, который позволяет вредоносной программе перехватывать данные о заголовках окон и отправлять их злоумышленникам.
- JanelaRAT использует систему динамической конфигурации сокетов. В инфраструктуре C2, используемой злоумышленниками, активно используются динамические DNS-сервисы. Каждый домен в инфраструктуре настраивается таким образом, чтобы быть активным только в определенный день месяца.
- JanelaRAT использует методы побочной загрузки DLL из легитимных источников (таких как VMWare и Microsoft) для обхода обнаружения конечных точек.
- Разработчик JanelaRAT является португалоговорящим. В строках вредоносной программы, метаданных, расшифрованных строках и т.д. активно используется португальский язык.
Indicators of Compromise
IPv4
- 102.165.46.28
- 167.88.168.132
- 189.89.15.37
- 191.96.224.215
- 191.96.79.24
- 192.99.169.240
Domains
- 439mdxmex.damnserver.com
- 897midasgold.ddns.me
- 9mdxmex.damnserver.com
- aigodmoney009.access.ly
- askmrpc747bm.mymediapc.net
- brockmex57.golffan.us
- cinfintymex.geekgalaxy.com
- cnt-blackrock.geekgalaxy.com
- disrupmoney979.ditchyourip.com
- dmrpc77bm.myactivedirectory.com
- freelascdmx979.couchpotatofries.org
- hotdiamond777.loginto.me
- i89bydzi.dynns.com
- ikmidasgold.ddns.me
- imrpc7987bm.mmafan.biz
- infintymex747.geekgalaxy.com
- infintymexb.geekgalaxy.com
- infintymexbrock.geekgalaxy.com
- irocketxmtm.hopto.me
- izt89bydzi.dynns.com
- j1d3c3mex.homesecuritypc.com
- jinfintymexbr.geekgalaxy.com
- jxjmrpc797bm.mydissent.net
- kakarotomx.dnsfor.me
- kktkarotomx.dnsfor.me
- megaskigoldmex.dvrcam.info
- minfintymexbr.geekgalaxy.com
- myfunbmdablo99.hosthampster.com
- myinfintyme09.geekgalaxy.com
- rexsrupmoney979.ditchyourip.com
- skigoldmex.dvrcam.info
- zeedinfintymexbrock.geekgalaxy.com
URLs
- http://45.42.160.55/
- http://zimbawhite.is-certified.com:3001/clientes/[1-44]
MD5
- 0898c4c1cb698cd29707db44352ab868
- 0cf2707ce1dccd6054813cb9207bf3d4
- 172ca00d32a201f5e917bc4d73f720a1
- 18ed52de642d3f3aab7c271804bd005a
- 1a47c3afa06960e8d8f54e507aa23675
- 1b72c12db8a37103a37cab5b3b14398c
- 1fc6298c88b3ea2030cc0382369d0bb9
- 24c6bff8ebfd532f91ebe06dc13637cb
- 2cbee69042a4d85ecfe6e55639b1b42a
- 304202cbc70412e76a216257ff4d2085
- 36a8a7407f084b4ae461b6bb4dd0b65c
- 3870e4a4d86a34424ea47bdaa722cd89
- 397e407e63128e71089971e3b35dd253
- 398d0268535cba57fa3b33159bbe04f3
- 3a336c5c7bd08587ad1709294d044e41
- 3bbfc1f2e20ba8209d057c215303b2bf
- 3cbe59c309f803fffdadcc69d3578a53
- 3ec6342286d5b699bc1fb2ef6598f906
- 42eb945b1b881b2319a74af06b1037db
- 44d9f29a81a2f2df83b6000165e8a06f
- 48c189e5dfe28b9d2b32fd813a991adb
- 4a1465999cdd9ee687b72289df05eaa9
- 4b142b23110fbb7b98ad49c051d7a1af
- 4c9c287103defb55b9e89278800e4025
- 4d62fc39e2586da78b65fff6dc844670
- 505fab6d83ef86a4b12b5808047fa7f1
- 51268b9681df47022c44af43f9d57255
- 526a0b2d142567d8078e24ab0758fad7
- 5335caa5d199eac6f67b2e911b6b1e37
- 596de51352cbeb0d26d861e991889578
- 5a5106ee07d277b373d13c9f3160fea0
- 5f628223fa083e4598badfe7efae5269
- 6364aa555ae8fd0ba5a8d97a2ffa314a
- 691cc21dae6e320564f74d6372e94286
- 72c02b3181c763d0e67f060e91635a97
- 72f4e0f7ff7a82c1e5cb6480c0c90a00
- 7548edc03021561c4d7a1b386aaa7696
- 76887ccf6de5b5f8d70cd6d91450b131
- 7b70c957449ab51f8d561582f229d5cf
- 81618be603bca301ac156ed169444569
- 84919bf0583c0e6c04e606f34a1d56f3
- 897e8483b673db70fdc5d3d111600cac
- 8b83e6b2d891cdf9250e9afd17081eab
- 8ca3dd771adbba82d28ce7ba4a0b8c97
- 900445a57f462d0df130c3612e6caed7
- 999a9af2cd20a8c4bcf652e3523aafa3
- 99bf0fba15aa3a9a59cbf442a80364e5
- aa3162289e7e848b7aeb19c8b85131fd
- b036f1351ed5af87005978c7b6036d3d
- b1e1134c82fdfe283948930089474574
- b2aaee6945f75caa1c44bca3e2812993
- ba2bd2d31cf591480b69e106b0e77b5c
- c2f4cb0da89b4ea86ab5369a942428eb
- c39f75423862c1525f089a5e966b9d04
- c5f2d6d3d3ac3521d2b2f7fa90d3ee5e
- c625443768b40cfbc93e28b92e874740
- c86fdacd8af28cb08ef406bc6d4fc5a7
- d057c499f440b77cfcad8d859d389915
- d1684fa84602a2d560b47dfe0f0779b4
- da48cd57e4b45cba63716bc2d53c4c76
- e166bd80341871c9d752537f80584334
- e2d7101f405ed88aba89bf39d56ee7a8
- e2f9e1dfb24c9deb7f4a3c0c5c1fd016
- e56d8632db98b07d2b49423f7dd64b42
- e684e872213432320c78f56c72c88a8e
- e6c501b52165cd278724ea229e44a8b9
- e841f4691e5107fe360b1528384a96f0
- ec60bc4522fa58bfe9592abde33948a7
- f4a42ef33e3a3a41b4e7ee0cd3173fb6
- f71471d7e94ef739a8ee44125023b750
- fc79aa5093f55dfa18a20f538c5e475e