Janela RAT: троянец-вымогатель маскируется под легальный софт и атакует финансовый сектор Латинской Америки

Распространение угрозы построено на социальной инженерии и доверии пользователей к известным платформам. Вредоносная нагрузка доставляется через установочные файлы формата .MSI, которые маскируются под легальное программное обеспечение. Эти файлы размещаются на публичных репозиториях GitLab, что придаёт им видимость законности и может обмануть даже опытных специалистов. После запуска такого установщика начинается многоэтапный процесс заражения, который координируется сценариями, написанными на языках Go, PowerShell и в формате batch-файлов.

Технический механизм работы Janela RAT детально описан в отчёте специалистов KPMG, которые используют собственную платформу Cyber Threat Intelligence для анализа подобных угроз. Сценарии-оркестраторы распаковывают ZIP-архив, содержащий исполняемый файл троянца, вредоносное расширение для браузеров на базе Chromium и вспомогательные компоненты. Последующая активность включает в себя генерацию команд для запуска самого RAT, а также работу распаковщика на Go, который извлекает защищённый паролем ZIP-файл. Внутри этого архива содержатся домены командного центра, закодированные в base64, и списки репозиториев. Эти данные декодируются и записываются в конфигурационный файл "config.json" для последующего использования троянцем.

Особую опасность представляет модуль, нацеленный на браузеры жертвы. Специальные скрипты идентифицируют все установленные в системе браузеры на движке Chromium и модифицируют их параметры запуска для тихой, фоновой установки вредоносного расширения. Это расширение регистрирует так называемый native messaging host - механизм для взаимодействия расширений с нативными приложениями на компьютере. Используя функцию "CollectRefresh", оно собирает конфиденциальную системную информацию, файлы cookies, историю посещений, данные об установленных расширениях и метаданные открытых вкладок. Полученные данные передаются троянцу, который может инициировать дополнительные действия, например, кражу данных при посещении пользователем определённых финансовых сайтов, URL которых соответствуют заданным злоумышленниками шаблонам.

Для поддержания скрытности и устойчивости в системе Janela RAT использует целый арсенал современных техник уклонения от обнаружения. Троянец устанавливает зашифрованные соединения по протоколу WebSocket с доменами C2, применяет динамическую ротацию этих серверов для усложнения блокировки, а также имитирует бездействие в периоды простоя, чтобы не привлекать внимание систем мониторинга. Исполняемые файлы и компоненты тщательно обфусцированы, что затрудняет их статический анализ антивирусными решениями. Всё это в совокупности делает Janela RAT инструментом, способным долгое время оставаться незамеченным в корпоративной сети.

Эксперты подчёркивают, что изощрённость Janela RAT, особенно в части сбора учётных данных и обхода защитных механизмов, указывает на общую эскалацию киберугроз финансовому сектору. Атаки стали более целенаправленными, а инструменты - более адаптивными. Это создаёт насущную необходимость в усилении защитных мер, выходящих за рамки традиционных сигнатурных антивирусов. Противодействие таким угрозам требует комплексного подхода, включающего анализ поведения приложений, мониторинг сетевой активности на предмет аномальных соединений, строгий контроль за установкой программного обеспечения и регулярное обучение сотрудников основам кибергигиены. Понимание тактик, техник и процедур (TTP), используемых такими группами, как распространители Janela RAT, является критически важным для построения эффективной обороны.

IPv4

• 102.165.46.28
• 167.88.168.13
• 189.89.15.37
• 191.96.224.215
• 191.96.79.24
• 192.99.169.240

Domains

• bulder.wordsuporttsk.com
• team000analytics.safepurelink.com
• w51w.worldassitencia.com

MD5

• 18cdd3e64da55f495cf1d05c306cf176
• 6550ea36af6d367e39b948835738f76d
• 8ea05d5b2b94f97dbe7ec483ce1077c9
• b1c2a280a40a447aa28031e117902b12
• e2bf84693ebc12624d9be3f384b4e509
• e7a6f1889744468d72b8644529a6cbac
• e89c194cf4530c001b14f9142262b410

SHA1

• 006fab2aad27c01f702d60b0210a3dde420fe6e5
• 053142b705964971847348a67e14fc697fedd401
• 10bb373322796ccb467103bd2f4c7c46dad8b8f8
• 142a574251873d9be9432efdd5de2ebb763fe571
• 1501bca70dd9ce99d0762a0151424ec767eb55be
• 254cccfa8d1b29073c7a5c66e121f060333db400
• 2563f9bcf8a42f0cb31a5b59bd825272dfb13c5f
• 2e91f2e51e46ee2557230bdb2fb3da8c7b1a58b7
• 2eb075fd728097e0963a38c88d38e108a93e1086
• 31e778378306b9ce2c1cf2ddcecbfc7d42021763
• 325423f6ae40237953e4a9499a9a844c8a2c6d2e
• 37577413d134a87b0e9605b38a3e688b862a8daa
• 45aa646b6a3e825bcb29a665f69d48c30424fa30
• 4adcdbf9933c47f478bda6058b5d5f237eb84b58
• 4e6ded77b20b7fac76a98c1849507b4f8db5079b
• 539fec46b4e148cd40ac547c6088a2bbc4b9bfea
• 6092804d3e3ff007705e6b5f612d59339c8df159
• 676c3a0d27693ad4d0449d5ad6696326842449fa
• 67bba07e645e0d9551cb6b8d4198bcd23a16910e
• 6b06237e92984deb88583c909841dbfc54f57ca1
• 6e7ea7d2412183fa7dceeebdd5dfe8049baee38a
• 766e0129e7c4b2a6daeee2befe5b87853ba7edac
• 83ae5dc85f772c87863d78d97b15178563e35c0f
• 8537133c2e445183dd61f6bfd25c01090bbc7cf3
• 876cd37b9591d2c42c414d08f2392e1e511137f0
• 9416c6f4dc80684b4222a3fe3dcf932d6443ac52
• 9ddc99425f8f9da3491e04c673164f6311f0fb78
• a05df139e676da07fe0b17adb4e3780b56862327
• a22f7c9f292853cafe9a79498873733f0ddf6fdd
• a9d2d2709cc8dab2e893de6322ed0093af5bdd95
• ac6de6bc3ffa762f6b511f1e04b22a5c498ec7fd
• ae27b9b0c9dfd41a9eb99c0d05e3ba0d28ff8b09
• b1258dad21ff1f06504e6cc2be41d6183d2c0e0c
• b18b61306aba922e4f746ea3d032a8d0a29ecd67
• b9976daf3b503fe540af652ed3cf3f2421a4b9a6
• c05783e2837615cc751d7003c0729f83b6891c81
• cc7f458199e293a27090da8559c20cb291689bab
• dcdde5f2219bfe5b8b2c57549ebbef8e166086ec
• e676ebf47af3cc412bb92585bb8a7e8475cb6afb
• ee0b392ce2df25630030cb10cb3d730d673a4b5a
• ee9a1e0831534178bd4ed44b6aa58c7e503c9954
• f062ea7ef775321a6e3c5abcf726ace13aba889a

SHA256

• 000356ff8bab0222fad9572b640997eed54390280fee8605d5ee3aec4cb01413
• 08f09a220fb0fdc02fa3981358957df48ffc955978382cd6c1870c429d78a165
• 0c6e12d23d94eddb3bdf15a2108401bcf47a5bc3796a4e5e5fa985eaacbae454
• 16748fc7cc71ff6568a09d5ea4d4ac2fa23667b9aa9dd0766e425bb18f842aa8
• 248ee6233a85daaa3ddc2d9aaf6f24a26969a1f46981aa2a13af0c661fe006d8
• 4fcf6d8e463adc77621dcc2ae0c1dbb8b653737e3f12a2b48f7a17ef116ff5fe
• 569ad9fd3a3f7797b1d5bf295bd722404c414b1a351796683b3c71fa83019995
• 5767b8991728ba9de1f7c020b23624b5009b93c1a8457f060f9d6067839f3dda
• 666ba2708be3fc6a208d1e961af343a8105959fa87bfd3322a36d6c4e57d1122
• 6ed7ec9d0c366310d647f44830a6b9bc353a0d8b9e3345253c770bb23a90bdd3
• 97364179ab942af483b973653b89c0dfb8ed5c7d56ed62dbbf7a62933c473fa6
• a670835f7c69ade92bd64535ce19e388ad906c774ac07f52b7a08b068de5b1bd
• a98370fb8325d0ba5ab2b2133e743eadfcfe530cc973295ca48dae2f485df742
• adf1786364d43f70e70be770728b0e89b6a0ea164cd8f088dee87d32342edf97
• ae466c8aef4fcce140a34ede8e1b7a0f2efe4daac528c3c093e2c44d08d288ef
• c206df6a4e25c65d77a65358093d81d07072169598abb48e14e0749b12f096a6
• c6ef29299570852806fadedb6a677de1690e3aacf222dd685b01be26cd0670cb
• cd4f8137e7732238303257a714252e76b6c1c61d3ba27f5ffc6a82fae5b0497b
• cef2b3501cd53bf6eebd1f80ec0d2abcd7b8488943f51b5feac1e2d223b78c95
• da6b97b245c65193eb231de0314508759a69db35a8f76afc66b4757702a231d0
• e200158dcca9b28c65d297cc2ff44a2183d8228568c2ebf98ac888d494e18649
• e2a86247b7089a5ffb4d0a3c421cedc044c744d37852ebac17291855c54713cf
• e310b8142f342cd614065283f3219895d8c1e1b9d4ddf566c75f489fa83be05a
• e3d96eff89cbcfe1d45a72cf657158dee2ab1db835a7814c506a76de1bc68dca
• e9e864184fd63731a28272c1e5d27154c74e5764bbf017b375afcc64398accc7
• f1e948cf6b89ae0a0361d8494fac220f62d1481dd15315fe4aa4ee66b01f5573
• f6edcd66b7c14920bc0f820eaf537bf5ee101c91b618ea3fbbb1b8978a40a775
• fca602926f8334c86d9329964089f241f0ab454336ab64bcf4e28adc11e092ea