អ្នកប្រើនៅអាមេរិកឡាទីន ឬជាអតិថិជនធនាគារ LATAM ក្លាយជាគោលដៅនៃមេរោគហិរញ្ញវត្ថុឈ្មោះ JanelaRAT ដែលមានសមត្ថភាពចាប់យកព័ត៌មានសម្ងាត់ពីប្រព័ន្ធវីនដូ Microsoft ដែលឆ្លងមេរោគ។អ្នកស្រាវជ្រាវនៅ Zscaler ThreatLabz ថ្លែងថា មេរោគ JanelaRAT មានបំណងលួចទិន្នន័យប្រាក់គ្រីបតូ និងហិរញ្ញវត្ថុពីធនាគារ LATAM។ ជាងនេះ វាប្រើតិចនិក DLL side-loading ពីប្រភពស្របច្បាប់ (ដូចជា VMWare and Microsoft) ដើម្បីគេចពីតាមចាប់ endpoint។
ចំណុចចាប់ផ្តើមនៃការចម្លងមេរោគគ្មានភាពច្បាស់លាស់ទេ ប៉ុន្តែក្រុមហ៊ុនសន្តិសុខសាយប័ររកឃើញយុទ្ធនាការកាលពីពាក់កណ្តាលឆ្នាំ២០២៣ ហើយបន្ថែមថា វុិចទ័រដែលក្រុមឆបោកប្រើមាន ZIP archive file ដែលមានផ្ទុក VB Script។ VBScript ត្រូវបង្កើតឡើងដើម្បីចាប់យក ZIP archive ទី២ ពីម៉ាសុីនមេរបស់អ្នកប្រើ ក៏ដូចជាទម្លាក់ batch file ដែលធ្លាប់ប្រើដើម្បីបង្កើតមេរោគ។ រីឯ ZIP archive ត្រូវខ្ចប់ទុកជាមួយសាមាសធាតុ២ មានបន្ទុកមេរោគ JanelaRAT និងឯកសារប្រតិបត្តិការស្របច្បាប់ identity_helper.exe or vmnat.exe ដែលត្រូវប្រើសម្រាប់ដាក់ចេញនូវដំណើរការមេរោគពី DLL side-loading។
មេរោគ JanelaRAT វាមានសមត្ថភាពអុីនគ្រីប string និងផ្លាស់ប្តូនៅក្នុង idle state នៅពេលចាំបាច់ ដើម្បីគេចចេញពីការវិភាគ និងការរកឃើញ។ វាក៏ជាអញ្ញត្តិ modified នៃ BX RAT ដែលត្រូវរកឃើញកាលពីឆ្នាំ២០១៤។ ជាមួយនឹងការបន្ថែមថ្មី១ សម្រាប់មេរោគនេះគឺវាមានសមត្ថភាពចាប់យក windows titles និងផ្ញើវាទៅកាន់ហេគឃ័រ បន្ទាប់ពី register ម៉ាសុីនថ្មីដែលឆ្លងមេរោគជាមួយនឹង command-and-control (C2) server។ លក្ខណៈពិសេសផ្សេងទៀតនៃ JanelaRAT អនុញ្ញាតឱ្យវាតាមដានការចុចរបស់កណ្តុរ (mouse input), ក្តារចុច (log keystrokes), ថតអេក្រង់ និងប្រមូលទិន្នន័យប្រព័ន្ធ (system metadata)។ មេរោគ JanelaRAT បញ្ជូនជាមួយ subset នៃលក្ខណៈដែលផ្តល់ឱ្យពី BX RAT បើយោងតាមអ្នកស្រាវជ្រាវ។ អ្នកអភិវឌ្ឍមេរោគ JanelaRAT មិននាំចូល shell បញ្ជាមុខងារប្រតិបត្តិការ ឬឯកសារ និងដំណើរមុខងារដ៏ជំនាញនោះទេ។
អ្នកវិភាគនៃប្រភពកូដបង្ហាញពីវត្តមាននៃ strings មួយចំនួនជាភាសាប៉ទុយហ្គាល់ ដែលបង្ហាញថាអ្នកអភិវឌ្ឍមានជំនាញជាមួយភាសាមួយនេះ។ តំណលីងទៅកាន់ LATAM មកពីយោងភ្ជាប់ទៅកាន់ប្រតិបត្តិការអង្គការនៅក្នុងវិស័យធនាគារ និងហិរញ្ញវត្ថុដែលវិមជ្ឈការ និងប្រាកដណាស់ថា VBScript អាប់ឡូតទៅកាន់ VirusTotal ចេញពីប្រទេស Chile, Colombia, and Mexico។ អ្នកស្រាវជ្រាវបន្តថា ការប្រើប្រាស់មេរោគដើម ឬ modified commodity Remote Access Trojans (RATs) គឺស្ថិតក្នុងចំណោមហេគឃ័រដែលប្រតិបត្តិការនៅក្នុងតំបន់ LATAM។ មេរោគ JanelaRAT ផ្តោតលើការប្រមូលទិន្នន័យហិរញ្ញវត្ថុ LATAM និងវិធីសាស្រ្តនៃការស្រង់ windows titles សម្រាប់ការបញ្ជូនចេញដែលសបញ្ជាក់ពីគោលដៅ និងការលួចរបស់វា៕
