JanelaRAT
A Kaspersky által elemzett JanelaRAT kampány egy kifejezetten pénzügyi célú, Latin-Amerikára fókuszáló malware-ökoszisztéma, amely a klasszikus RAT képességeket banki csalási funkciókkal kombinálja. A kártevő a régi BX RAT módosított változata, de a fejlesztők jelentősen átalakították, hogy specifikusan banki és kriptovaluta-adatok megszerzésére legyen optimalizálva.
A fertőzési lánc többlépcsős és folyamatosan változó. A kampányok jellemzően adathalász e-mailekkel indulnak, amelyek számlákra vagy pénzügyi dokumentumokra hivatkozva veszik rá az áldozatot egy rosszindulatú fájl letöltésére. A letöltött fájlok (ZIP, MSI) több komponensből állnak, amelyek végül DLL sideloading technikával indítják el a tényleges payloadot. Az újabb verziók egyszerűsített telepítési láncot használnak, csökkentve a lépések számát és növelve a sikerességet.
A működés egyik kulcseleme a célzott aktivitásfigyelés. A malware egyedi window title detekciót alkalmaz, figyeli, hogy a felhasználó megnyit-e konkrét banki vagy pénzügyi weboldalakat, és csak ekkor aktiválja a támadási logikát. Ez csökkenti a detektálhatóságot és növeli a támadás hatékonyságát.
A legfontosabb funkció a banki session hijacking. Amikor a felhasználó belép egy banki felületre, a malware egy teljes képernyős, támadó által vezérelt overlayt jelenít meg, amely a legitim felületet utánozza. Ezen keresztül a felhasználó hitelesítési adatokat ad meg, miközben a háttérben a támadó valós időben irányítja az interakciót, akár MFA megkerülésével is.
A kártevő további képességei közé tartozik a billentyűleütések naplózása, képernyőképek készítése, rendszerinformációk gyűjtése és folyamatos kommunikáció a C2 infrastruktúrával. A támadók figyelik a felhasználói viselkedést és időzítik a műveleteket, ami inkább operatív, mint automatizált támadási modellt jelez.
A kampány intenzitása jelentős, csak Brazíliában több mint 14 000 támadást regisztráltak egy év alatt, ami jól mutatja a pénzügyi szektor elleni fókuszált aktivitást. A célpontok elsősorban Brazília és Mexikó, de a teljes latinamerikai régió érintett.
