Финансовые учреждения и их клиенты в Латинской Америке, особенно в Бразилии и Мексике, столкнулись с новой волной атак усовершенствованного вредоносного ПО класса RAT. Эксперты "Лаборатории Касперского" детально проанализировали последнюю версию трояна, известного как JanelaRAT, демонстрирующую возросшую изощрённость злоумышленников. Вредоносная программа не только крадёт учётные данные, но и активно вмешивается в банковские сессии в реальном времени, используя сложные методы маскировки и обфускации для уклонения от обнаружения.
Описание
Основной вектор атаки остаётся социально-инженерным. Кампании начинаются с фишинговых писем, маскирующихся под уведомления о неоплаченных счетах. В письме содержится ссылка, ведущая на поддельный сайт, где жертве предлагается скачать архив. Этот архив запускает многоступенчатую цепочку заражения, которая в конечном итоге устанавливает на компьютер финальный имплант - сам JanelaRAT. Важно отметить, что злоумышленники постоянно оптимизируют этот процесс. Если ранее он включал множество промежуточных скриптов, то в последней наблюдаемой кампании используется файл установщика MSI, что сокращает количество шагов и потенциально повышает успешность атак.
MSI-файл выполняет роль дроппера - начального установщика. Его задача - разместить в системе два файла: легитимный исполняемый файл "nevasca.exe" и вредоносную библиотеку "PixelPaint.dll", которая и является трояном JanelaRAT. Для усложнения анализа пути и имена файлов обфусцируются. Кроме того, дроппер создаёт ярлык в папке автозагрузки Windows, обеспечивая постоянное закрепление в системе (persistence). При запуске легитимный "nevasca.exe" загружает вредоносный DLL-файл, что является классическим примером техники подмены DLL (DLL sideloading).
Проанализированный образец, версия 33, был защищён обфускатором Eazfuscator для .NET, что затрудняет статический анализ. Основная функциональность трояна сфокусирована на финансовом мошенничестве. После заражения JanelaRAT собирает базовую информацию о системе и регистрирует жертву на управляющем сервере (C2, Command and Control). Одной из ключевых особенностей является тщательный мониторинг активности пользователя. Вредонос создаёт фоновый поток, который отслеживает периоды бездействия. Если с момента последнего ввода с клавиатуры или мыши прошло более 10 минут, троян уведомляет об этом оператора. Это позволяет злоумышленнику планировать свои удалённые операции на время, когда пользователя нет за компьютером, минимизируя риск обнаружения.
Второй критически важной подпрограммой является мониторинг банковской активности. JanelaRAT постоянно проверяет заголовок активного окна в системе, сравнивая его с зашифрованным списком целевых финансовых учреждений. Список целей постоянно обновляется, и, как сообщают исследователи, версия 33 ориентирована преимущественно на бразильские банки. Как только пользователь открывает сайт или приложение нужного банка, срабатывает триггер. Троян выжидает 12 секунд, после чего устанавливает отдельный, интерактивный канал связи с C2-сервером. Это открывает оператору широкий спектр возможностей для прямого вмешательства.
Функционал удалённого управления впечатляет своей полнотой. Оператор может делать скриншоты всего экрана или его отдельных областей, вести кейлоггинг (перехват нажатий клавиш), имитировать ввод с клавиатуры и мыши, что позволяет напрямую управлять интерфейсом. Троян умеет принудительно завершать работу системы, выполнять произвольные команды и даже скрывать от пользователя Диспетчер задач, чтобы предотвратить обнаружение вредоносных процессов. Однако самым опасным нововведением в этой версии является система оверлейных окон-обманок.
Когда обнаружено целевое банковское окно, C2-сервер может отправить команду на отображение полноэкранного наложения. Это наложение представляет собой изображение, которое идеально имитирует интерфейс банковского приложения, системного предупреждения или даже экрана обновления Windows с сообщениями на португальском языке. Такое окно блокирует взаимодействие пользователя с реальным приложением. Под его прикрытием злоумышленник может, например, запросить ввод одноразового пароля (MFA), который пользователь, ничего не подозревая, введёт прямо в фальшивую форму. Данные немедленно передаются оператору, что позволяет обойти даже двухфакторную аутентификацию и получить полный контроль над банковским счётом в режиме реального времени.
Для усложнения обнаружения JanelaRAT использует несколько анти-аналитических приёмов. Помимо обфускации кода, он проверяет наличие на системе процессов, связанных с банковскими системами безопасности (анти-фрод), и уведомляет об этом оператора. Также реализованы простые методы обнаружения песочницы, например, проверка запущенных служебных программ вроде экранной лупы. Инфраструктура управления также стала более гибкой: в этой версии C2-домен меняется ежедневно, конструируясь из текущей даты и суффикса, связанного с легитимным сервисом динамического DNS (DDNS).
Эволюция JanelaRAT демонстрирует чёткий тренд: угроза становится более целенаправленной, скрытной и интерактивной. От простого сбора данных троян перешёл к активному участию в финансовых операциях жертвы. Основной удар по-прежнему принимают на себя пользователи в Бразилии и Мексике. Для противодействия подобным угрозам специалистам по информационной безопасности, помимо обучения пользователей фишингу, следует рассмотреть возможность блокировки нежелательных динамических DNS-сервисов на периметре корпоративной сети или внутренних DNS-резолверах. Это нарушит каналы связи, критически важные для таких сложных угроз, как JanelaRAT, и позволит предотвратить утечку данных даже в случае успешного проникновения вредоносного ПО на конечные устройства.
Индикаторы компрометации
Domains
- ciderurginsx.com
MD5
- 808c87015194c51d74356854dfb10d9e
- d7a68749635604d6d7297e4fa2530eb6
