Neue JanaWare Ransomware zielt über maßgeschneiderte Adwind RAT auf türkische Nutzer ab

Ein neuer Ransomware-Stamm namens JanaWare hat heimlich Privatnutzer und kleine bis mittelständische Unternehmen in der Türkei ins Visier genommen und dabei eine kundenspezifische Version des bekannten Adwind Remote Acce Ein neuer Ransomware-Stamm namens JanaWare hat heimlich Privatnutzer und kleine bis mittelständische Unternehmen in der Türkei ins Visier genommen und dabei eine kundenspezifische Version des bekannten Adwind Remote Access Trojan (RAT) als Überbringungsmittel genutzt.

Die Kampagne zeichnet sich durch ihr fokussiertes geografisches Targeting, moderate Lösegeldforderungen und den Einsatz fortschrittlicher Umgehungstechniken aus, die es ihr ermöglichten, jahrelang unter dem Radar zu fliegen.

Der Angriff beginnt, wenn ein Opfer eine Phishing-E-Mail erhält, die eine bösartige Java Archive (JAR)-Datei enthält oder auf diese verlinkt, die auf Google Drive gehostet wird. Wenn das Opfer über Outlook auf den Link klickt, öffnet Chrome die Drive-URL und lädt die Datei herunter, welche dann über javaw.exe auf dem System des Opfers ausgeführt wird.

Dieser nahtlose Übergang zwischen vertrauenswürdigen Anwendungen lässt die anfängliche Infektion sowohl für das Opfer als auch für einfache Sicherheitsüberwachungstools routinemäßig erscheinen.

Sobald die JAR-Datei ausgeführt wird, lädt sie eine angepasste Version von Adwind RAT, einem Java-basierten Remote-Access-Tool, das umfunktioniert und stark modifiziert wurde, um als Multi-Stage-Loader für die Ransomware-Nutzlast zu dienen.