In den letzten Jahren gab es eine anhaltende Zunahme der Kampagnen gegen Finanzinstitute in Lateinamerika, und einer der prominentesten Akteure in diesem Szenario ist ein entfernter Trojaner namens JanelaRAT. Dies ist eine Entwicklung eines früheren Tools namens BX RAT, und sein Modus operandi kombiniert traditionelle Infektionstechniken mit sehr fortschrittlichen Spionage- und Fernsteuerungsfunktionen, um Bankoperationen und Kryptomoneda-Daten abzufangen.
JanelaRAT ist keine rohe Malware, sondern eine Reihe von Komponenten, die Orchester. Ihre Kampagnen wurden von ZIP-Dateien mit Skripten auf Visual Basic für MSI-Installateure verwendet, die als legitime Software auf vertrauenswürdigen Plattformen gehostet werden. In mehreren Analysen wird eine Sequenz in mehreren Schritten beschrieben: eine erste Datei (z.B. ein ZIP oder ein Installer) zusätzliche Komponenten herunterladen, einschließlich einer legitimen ausführbaren und eine bösartige DLL, und verwenden Sie DLL-Seitenrolling-Technik, um den schädlichen Code auszuführen, ohne sofortige Verdacht zu erhöhen.
Eingangsvektoren haben sich im Laufe der Zeit geändert. Öffentliche Untersuchungen weisen darauf hin, dass in den ersten Erkennungen VBScript in Tablet-Anhänge integriert verwendet wurde; dann entwickelten sich die Kampagnen zu MSI-Installatoren, die als "Dropper" fungierten, und dass sie auch Beharrlichkeit suchen, indem sie direkten Zugriff im Windows Start-Ordner erstellen. Es hat auch die Verwendung von böswilligen Erweiterungen für Chrom-basierte Browser dokumentiert, still installiert, wenn Browser-Start-Parameter ändern, um den Schalter -- Last-Ausdehnung. Diese Erweiterung dient als zusätzliche Ebene, um Cookies, Geschichte, installierte Erweiterungen und Registerkarten zu erfassen und Aktionen auszuführen, wenn der Benutzer bestimmte Seiten besucht.
Einer der Identitätszeichen von Malware ist Ihr Interesse an aktiven Systemfenstern. Der Code erhält den Titel des Fensters, das im Vordergrund steht und es mit einer vorkonfigurierten Liste von Finanzinstituten vergleicht. Wenn Sie einen Zufall erkennen, warten Sie eine kurze Zeit - technische Berichte erwähnen etwa 12 Sekunden - und setzen Sie dann einen dedizierten Kanal mit Ihrem Befehls- und Steuerserver (C2), um Bestellungen zu empfangen. Diese Logik ermöglicht es dem Angreifer, sich ausschließlich auf die relevanten Interaktionen zu konzentrieren, das Rauschen zu reduzieren und die Wahrscheinlichkeit zu erkennen.
Die Remote-Kapazitäten von JanelaRAT sind breit und zielt darauf ab, Kontrollen zu vermeiden. Die Befehle, die Sie ausführen können, umfassen die Erfassung von Vollbild oder bestimmten Bereichen, die Präsentation von falschen Fenstern, die Bankdialoge mimieren, um Anmeldeinformationen zu stehlen, die Aufnahme von Tastaturimpulsen, die Simulation von Mausbewegungen und Klicks, und sogar die Injektion von Tasten zu navigieren Schnittstellen. Die Malware kann den Computer ausschalten, Befehle mit cmd.exe oder PowerShell ausführen und Systemtools wie den Task-Manager manipulieren, um zu versuchen, versteckt zu bleiben. Es enthält auch Routinen, um Anti-Fraud-Lösungen, Sandbox-Umgebungen oder Automatisierungsmechanismen zu identifizieren und Ihr Verhalten anzupassen, wenn Sie diese Verteidigungen erkennen.
Ein interessantes operatives Detail ist, dass JanelaRAT die Aktivität des Nutzers überwacht: Es berechnet die Zeit, die seit der letzten Interaktion vergangen ist und meldet den C2, wenn das Team mehr als zehn Minuten inaktiv geblieben ist, erneut berichtet, wenn die Aktivität wieder aufgenommen wird. Diese Taktik ermöglicht es Angreifern, die richtige Zeit zu wählen, um sichtbare Operationen durchzuführen und die Chancen zu minimieren, von dem Teambesitzer überrascht zu werden.
Die Telemetrie Metriken, die Sicherheitssignaturen veröffentlicht haben, zeigen den Maßstab des Phänomens in der Region. Zum Beispiel, Lieferanten, die diese Kampagnen analysieren, haben zehntausende Angriffsversuche in Ländern wie Brasilien und Mexiko für einen bestimmten Zeitraum gemeldet, während andere Kampagnen besonders betroffen Nationen wie Chile und Kolumbien. Es ist wichtig zu betonen, dass nicht alle Versuche ein erfolgreiches Engagement beinhalten, aber die Präsenz und Beharrlichkeit dieses Schauspielers machen deutlich, dass Banken und ihre Kunden konstante Ziele sind.
Der betroffene Forscher und Leser kann diese Dynamik in den von Cybersicherheitsunternehmen veröffentlichten technischen Analysen vertiefen; zum Beispiel hat das Zscaler-Forschungsteam die ersten Auftritte dieser Malware-Familie im Jahr 2023 aufgenommen und seine Entwicklung dokumentiert, und Gruppen wie Kaspersky und andere Firmen haben komplementäre Bewertungen zu Varianten und Inzidenzstatistiken veröffentlicht. Um die verwendeten Techniken zu verstehen, wie z.B. die Erfassung von Eingaben oder die Erfassung von Bildschirmen, sollten technische Referenzressourcen, die diese Fähigkeiten klassifizieren, und deren Gegenmaßnahmen konsultiert werden ( Zscaler Forschung, Kaspersky Lab und die taktischen Beschreibungen in der MITRE Wissensbasis Input Capture und Bild vergrößern)
Für Benutzer und Sicherheitsbeamte in Finanzinstituten sind die Implikationen klar: Es besteht ein Bedarf an einem Schichtansatz, der Bildung beinhaltet, Phishing-E-Mails zu erkennen (z.B. falsche Rechnungen, die Download-Dateien verursachen), strenge Kontrollen über die Herkunft und Integrität der Installateure, Aushärtung von Browsern und Erweiterungen und Überwachung von ungewöhnlichem Verhalten in Endpunkten und Ausgabeverkehr. Organisationen sollten auch ihre Software-Bereitstellungsrichtlinien überprüfen, um zu verhindern, dass nicht verifizierte Installateure von offensichtlich legitimen Repositories verbreiten.
Es gibt keine einzige wundersame Heilung, aber praktische Maßnahmen, die das Risiko stark reduzieren. Behalten Sie aktuelle Systeme und Browser, überprüfen Sie digitale Installer Signaturen, verwenden Sie Multifaktor für sensible Zugriffe, wenden Sie Verhaltenserkennung / Anti-Malware-Lösungen und Segment-Netzwerke, um zu begrenzen, was ein bösartiger Agent erreichen kann sind konkrete Schritte. Wenn eine Infektion vermutet wird, verringert die frühzeitige Reaktion - Isolierung von Geräten, Analyse von Persistenz- und Kommunikationskanälen und gegebenenfalls Nachdrucken des Systems - Auswirkungen.
Was JanelaRATs Trajektorie klar macht, ist, dass lateinamerikanische und globale Angreifer in die Raffinesse ihrer Werkzeuge und die Anpassungsfähigkeit ihrer Infektionsketten investieren. Die Kombination von Social Engineering-Techniken, Missbrauch von legitimen Systemmechanismen und bösartige Erweiterungen schafft eine breite Angriffsfläche. Sich über spezialisierte Quellen auf dem Laufenden zu halten und verhaltensbasierte Verteidigungen zu übernehmen, ist heute der beste Weg, sowohl Bankinstitute als auch ihre Kunden vor dieser Bedrohung zu schützen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...