Janela遠隔アクセス型トロイの木馬(RAT)キャンペーンは、偽のWindowsインストーラーと悪意のあるブラウザ拡張機能を使用して金融ネットワークに侵入し、機密データを流出させています。
最新のJanela RATサンプルは、攻撃者が正規のソフトウェアインストーラーに偽装したMSIインストールファイルをホストしている公開GitLabリポジトリを通じて配布されています。
キャンペーンの主な標的であるチリ、コロンビア、メキシコの無防備なユーザーは、信頼できるソースからの信頼できるアプリケーションだと信じてこれらのファイルをダウンロードするよう誘導されています。
2023年半ばに最初に特定されたJanela RATは、BX RATの改変型と考えられており、永続性、認証情報盗難、ブラウザ悪用のための高度な技術を示しています。
実行されると、MSIインストーラーはGo、PowerShell、およびバッチスクリプトを通じてオーケストレーションされた多段階の感染プロセスを開始します。
これらのスクリプトは、メインのJanela RAT実行可能ファイル、悪意のあるChromiumベースのブラウザ拡張機能、およびさまざまなサポートコンポーネントを含むパスワード保護されたZIPアーカイブをアンパックします。
多段階のアンパッキングと設定
Goベースのアンパッカーは、base64エンコードされたコマンド・アンド・コントロール(C2)ドメインとリポジトリリストを含む複数層のデータをデコードし、ローカルconfig.jsonファイルに書き込みます。
PowerShellまたはバッチスクリプトは、ハードコードされたファイル名を使用してRAT実行可能ファイルをトリガーし、その主要機能を起動します。
スクリプトはさらに、ChromeやEdgeなどのインストールされているすべてのChromiumベースのブラウザを特定し、再起動時に悪意のあるブラウザ拡張機能をサイレントにロードするようにスタートアップ設定を変更します。
不正なブラウザ拡張機能はJanela RATのデータ盗難操作の中心です。アクティブ化されると、RATのバックグラウンドプロセスとの直接通信を可能にするネイティブメッセージングホストを登録します。CollectRefresh機能を通じて、拡張機能は以下を含む広範なデータを収集します:
- ブラウザの履歴とクッキー。
- システムおよびセッションメタデータ。
- インストール済みのブラウザ拡張機能。
- タブアクティビティとURLパターン。
ユーザーが銀行または暗号資産プラットフォームにアクセスすると、RATは自動的に認証情報収集ルーチンをトリガーし、最大の金銭的利得を得るためにコンテキストを悪用します。
暗号化されたC2チャネルと回避
Janela RATは暗号化されたWebSocketチャネルを経由してリモートサーバーに接続し、動的に回転される、base64エンコードされたC2ドメインを使用してブラックリスト化を回避します。
そのバイナリは大きく難読化されており、マルウェアはアイドル状態の動作を採用してアクティブにデータを盗難していない場合は休止状態に見え、検出をより困難にします。
セキュリティアナリストは、このキャンペーンが、経済的な動機を持つラテンアメリカの脅威グループによるソフトウェアサプライチェーンとブラウザAPIを武器化して大規模な認証情報流出を行うための新たな取り組みを強調していると指摘しています。
地域の組織とユーザーは以下を推奨されています:
- 侵害の指標(IoC)と異常なアウトバウンドネットワーク接続を監視する。
- Windows環境に徹底的にパッチを適用し、多要素認証を実施する。
- 包括的な脅威評価を実行して脆弱性を特定し、防御姿勢を改善する。
Janela RATの復活は、ラテンアメリカの金融サイバー犯罪の増加する洗練さと、積極的で多層的なセキュリティ防御の緊急の必要性を強調しています。
翻訳元: https://gbhackers.com/fake-msi-installers/
