JhoneRAT
De JhoneRAT is een indrukwekkende RAT (Remote Access Trojan) waarvan de activiteit recentelijk is toegenomen. Na het bestuderen van deze dreiging concludeerden malware-analisten dat deze waarschijnlijk vanaf de grond is opgebouwd. Dit is niet ongebruikelijk, maar veel auteurs van RAT's lenen de code van bestaande bedreigingen liever in plaats van helemaal opnieuw een tool te bouwen. Volgens de experts is de JhoneRAT geschreven in de programmeertaal Python.
Inhoudsopgave
Voortplantingsmethode
De JhoneRAT wordt verspreid met behulp van spam e-mailcampagnes. Dit is een zeer populaire propagatiemethode als het gaat om het verspreiden van malware. Gewoonlijk bevatten de spam-e-mails een beschadigd bijgevoegd bestand. Dit is ook het geval met de JhoneRAT. De bijlagen die worden gebruikt bij de verspreiding van de JhoneRAT hebben twee typen - de ene beweert een belangrijk document te zijn dat dringend moet worden geopend, terwijl de andere beweert dat het een archief is met gelekte Facebook-inloggegevens. Als de gebruikers vallen voor deze truc en het bijgevoegde bestand openen, zullen ze de uitvoering van de volgende stap van JhoneRAT's aanval activeren.
Vermijdt detectie door anti-malware tools
De auteurs van de JhoneRAT gebruiken een zeer slimme truc om de onveilige activiteit van deze dreiging te maskeren. Bij het compromitteren van het beoogde systeem zou de JhoneRAT ook een ander Microsoft Office-document downloaden dat wordt gehost op Google Drive. Na het downloaden wordt het document op het systeem gestart. De aanvallers hebben ervoor gezorgd dat prioriteit wordt gegeven aan het gebruik van applicaties van derden (zoals Google Drive). Dit helpt de auteurs van deze RAT om de activiteit van de dreiging te verhullen en beveiligingshulpmiddelen te misleiden om deze als legitiem te vermelden.
Zelfbehoudstechnieken
Het aanvullende document dat de JhoneRAT van Google Drive ophaalt, bevat een module die in staat is het geïnfiltreerde systeem te scannen op de aanwezigheid van een serienummer van een harde schijf, aangezien computers die worden gebruikt voor het opsporen van malware, vaak ontbreken. Dit betekent dat de JhoneRAT kan detecteren of het wordt uitgevoerd in een sandbox-omgeving of een gewone computer. Als de scan vaststelt dat het systeem niet wordt gebruikt voor het opsporen van malware, zal de JhoneRAT doorgaan met de aanval en een afbeelding ophalen van Google Drive.
Richt zich op gebruikers uit het Midden-Oosten en Noord-Afrika
De afbeelding die de JhoneRAT zou downloaden, bevat een gemaskeerde tekenreeks die is gecodeerd met base64. Vervolgens zou de JhoneRAT de betreffende string decoderen en als een AutoIT-script uitpakken. Dit script dient als een downloader waarvan het doel is om de laatste lading op Google Drive te pakken. Vervolgens zou de JhoneRAT doorgaan met de aanval door het toetsenbord te controleren dat het slachtoffer gebruikt. De JhoneRAT zal de campagne alleen voortzetten als het detecteert dat het slachtoffer een toetsenbord gebruikt dat typisch is voor Irak, Saoedi-Arabië, Libië, Koeweit, Libanon, Verenigde Arabische Emiraten, Marokko, Tunesië, Oman, Egypte, Bahrein, Jemen of Algerije.
Interessant genoeg ontvangt de JhoneRAT commando's via een Twitter-profiel. Deze dreiging zou verbinding maken met het betreffende Twitter-account en al zijn meest recente tweets doorlopen. Volgens cybersecurity-onderzoekers tweeten de makers van de JhoneRAT commando's die door de RAT worden onderschept en dienovereenkomstig worden uitgevoerd. Twitter heeft sindsdien het betreffende account bewogen. Helaas kunnen de auteurs van de JhoneRAT een nieuw Twitter-account maken en hun campagne eenvoudig voortzetten.
mogelijkheden
De JhoneRAT vertrouwt op toepassingen van derden om zijn opdrachten uit te voeren. Deze dreiging kan screenshots maken van het bureaublad van het slachtoffer en actieve vensters. De gegevens worden vervolgens overgebracht naar een beeldhostingservice genaamd ImgBB. De aanvallers kunnen de JhoneRAT ook opdracht geven om extra payloads van Google Drive te downloaden en uit te voeren. De auteurs van de JhoneRAT kunnen het ook gebruiken om een systeemopdracht uit te voeren. De uitvoer die als reactie is vastgelegd, wordt in een Google Formulieren-document geplaatst dat privé is en dus alleen toegankelijk voor de aanvallers.
Ondanks de relatief korte lijst met mogelijkheden die de JhoneRAT bezit, maakt het feit dat deze dreiging zijn verzonnen verkeer kan maskeren met behulp van legitieme services, het nogal bedreigend omdat antivirusprogramma's het mogelijk niet kunnen herkennen. Het is waarschijnlijk dat de auteurs van de JhoneRAT zeer ervaren en zeer bekwaam zijn.
