Janela RAT－LATAMフィンテックを狙う高度な多段階攻撃

Janela RATは、高度なRemote Access Trojan（RAT）で、2023年半ばにはじめて確認され、BX RATの改変版であると考えられています。

このマルウェアは、信頼できるプラットフォーム上にホストされた正規ソフトウェアを装った悪意あるインストールファイルを通じて拡散します。主にチリ、コロンビア、メキシコといった国々を標的とし、金融目的の脅威アクターによって、ラテンアメリカ全域の銀行、フィンテック、暗号資産関連セクターへの侵入に利用されています。

Janela RATは、正規ソフトウェアに偽装された悪意ある.MSIインストーラを、公開GitLabリポジトリにホストすることで配布されます。実行されると、このインストーラはGo、PowerShell、バッチで記述されたオーケストレーションスクリプトを用いて、多段階の感染プロセスを開始します。

これらのスクリプトは、RAT本体の実行ファイル、Chromiumベースの悪意あるブラウザ拡張機能、その他のコンポーネントを含むZIPアーカイブを展開します。バッチまたはPowerShellスクリプトは、ハードコードされたファイル名を使用してRAT実行ファイルを起動するコマンドを生成し、コア機能を開始します。

Goベースのアンパッカーは、パスワードで保護されたZIPファイルを抽出し、base64でエンコードされたC2（コマンド＆コントロール）ドメインやリポジトリリストをデコードして、config.jsonファイルに書き込みます。

スクリプトは、インストール済みのChromiumベースのブラウザを特定し、その起動パラメータを変更して、悪意ある拡張機能をサイレントインストールします。この拡張機能はネイティブメッセージングホストを登録し、CollectRefresh関数を使用して、システム情報、Cookie、閲覧履歴、インストール済み拡張機能、タブのメタデータを収集し、URLパターンに基づいてRATのアクションをトリガーします。

Janela RATは、base64でエンコードされたドメインへの暗号化されたWebSocket接続を確立し、暗号化通信、動的なC2ローテーション、アイドル状態の挙動、難読化されたバイナリといった手法を駆使して、永続性を維持し、検知を回避します。

Janela RATによる高度な難読化と認証情報窃取の手法は、進化する金融サイバー脅威に対抗するための防御強化の緊急性を浮き彫りにしています。

• 環境内でIoC（侵害の痕跡）を監視し、異常を特定する。
• Windows環境を最新の状態に保ち、多要素認証で保護する。 
• 盲点や改善点を明らかにするため、包括的かつ全方位的な脅威評価演習を実施する。

※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。

本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。

• RA World－スパイ活動の痕跡を持つリブランド版ランサムウェア（7/1）
• APT29－外交ネットワークに対するサイバー侵入（7/8）
• APT35－偽装ドメインから盗まれた機密情報まで（7/15）
• LARVA-208－AIをテーマにしたソーシャルエンジニアリングによるWeb3侵害（7/29）