Janela RATの新たな攻撃の波がラテンアメリカの金融部門を標的とし、偽のMSIインストーラと悪質なブラウザ拡張機能を使用して機密データを盗みます。
2023年半ばに初めて発見されたこのリモートアクセストロイの木馬(RAT)は、BX RATの改変版として現れます。金銭目的の脅威アクターは、主にチリ、コロンビア、メキシコの銀行、フィンテック、および暗号資産ユーザーに対してそれをデプロイします。
このキャンペーンは公開GitLabリポジトリでホストされている悪質なMSIファイルを通じて拡散します。これらのファイルは信頼できるプラットフォームからの正当なソフトウェアを装います。
ユーザーがインストーラを実行すると、多段階の感染チェーンが開始されます。Go、PowerShell、およびバッチファイルのスクリプトがプロセスを駆動します。RAT実行ファイル、不正なChromiumベースのブラウザ拡張機能、およびヘルパーツールを含むZIPアーカイブを解凍します。
バッチまたはPowerShellスクリプトは、固定されたファイル名でRATを起動するコマンドを作成します。一方、Goベースのアンパッカーはパスワードで保護されたZIPを処理します。
Base64エンコードされたC2ドメインとリポジトリリストをデコードし、config.jsonファイルにダンプします。このセットアップにより、マルウェアはそのコマンド・アンド・コントロール(C2)サーバーを動的に適応させることができます。
スクリプトはChromeやEdgeなどのインストールされているChromiumベースのブラウザをスキャンします。ユーザーに気づかれることなく悪質な拡張機能を読み込むために起動パラメータを調整します。
Janela RATはその後、Base64で隠されたドメインへの暗号化されたWebSocketリンクを開きます。C2サーバーをその場で回転させ、アイドル時に休止し、難読化されたバイナリを使用してアンチウイルススキャンを回避します。これらのトリックにより、認証情報盗難とデータ流出のための長期的なアクセスが保証されます。
専門家は、リアルタイム防御のためにSTIX/TAXII/MISP形式の機械可読脅威インテリジェンスフィードを推奨しています。先制的脅威狩りとインシデント対応などのサービスが役立つことができます。
翻訳元: https://cyberpress.org/janela-campaign-uses-fake-installers/
