Vírus JanelaRAT visa roubar senhas bancárias e informações sensíveis
agosto 18, 2023
Em junho de 2023 o time de segurança e investigação de ameaças da Zscaler identificou uma nova ameaça que a princípio tem como principal objetivo extrair informações bancárias como senhas, números de cartão de crédito, dentre outras informações sensíveis, o vírus envolve diversas táticas de ataque, abaixo relatório com as principais conclusões sobre a ameaça publicado pela Zscaler:
- Dados Financeiros na América Latina: A partir de junho de 2023, o JanelaRAT visa principalmente dados financeiros e de criptomoedas de bancos e instituições financeiras LATAM.
- Novas e nefastas capacidades: O JanelaRAT possui um mecanismo de sensibilidade de títulos do Windows que permite que o malware capture dados de títulos de janelas e os envie para os invasores de ameaças.
- Comportamento Estratégico e Explorador: O JanelaRAT emprega um sistema de configuração dinâmica de soquetes. A infraestrutura C2 usada pelos invasores de ameaças abusa fortemente dos serviços DNS dinâmicos. Cada domínio é configurado na infraestrutura para estar ativo apenas em um determinado dia do mês.
- Manobras Evasivas: O JanelaRAT abusa das técnicas de sideload de DLL de fontes legítimas (como VMWare e Microsoft) para evitar a detecção de endpoint.
- Origem do Agente de Ameaça: O desenvolvedor do JanelaRAT é de língua portuguesa. Há um uso pesado do português nas cadeias de caracteres de malware, metadados, strings descriptografadas, etc.
Cadeia de ataque:
O vírus também conta com um sistema de autoproteção para evitar que seja identificado, fazendo uma verificação a cada 5 segundos se mantendo em estado ocioso e permanecendo em silencio, além de ter criptografia em toda cadeia de caracteres.
MITRE ATT&CK
O que é o MITRE ATT&CK?
O MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) é um framework de referência para a identificação e documentação de técnicas e táticas utilizadas por atacantes cibernéticos.
As seguintes táticas mapeadas pelo Mitre Att&ck foram identificadas:
| ID | Nome da técnica |
| T1587.001 | Desenvolver capacidades: Malware |
| T1608.001 | Recursos de palco: Carregar malware |
| T1059.005 | Interpretador de comando e script: Visual Basic |
| T1059 | Interpretador de Comandos e Scripts |
| T1547.001 | Inicialização ou Execução de Início Automático de Logon: Chaves de Execução do Registro / Pasta de Inicialização |
| T1574.002 | Fluxo de execução do seqüestramento: DLL side-loading |
| T1027.002 | Arquivos ou informações ofuscados: Empacotamento de software |
| T1140 | Desofuscar/decodificar arquivos ou informações |
| T1497.003 | Virtualização/Evasão de Sandbox: Evasão Baseada em Tempo |
| T1132.001 | Codificação de dados: codificação padrão |
| T1573.001 | Canal Criptografado: Criptografia Simétrica |
| T1095 | Protocolo de camada não relacionada a aplicativos |
| T1041 | Exfiltração pelo canal C2 |
Como faço para me proteger dessa ameaça?
Infelizmente estamos o tempo todo suscetíveis a ataques e roubo de informações, com isso vale reforçar a necessidade de soluções XDR e de tratamento de phishing e anexos seguros, bem como políticas de proteção de site mal-intencionados, além da atenção a qualquer conteúdo suspeito, além de acesso a links e e-mails que não sejam confiáveis.