JhoneRAT
JhoneRAT je působivý RAT (Remote Access Trojan), jehož aktivita se nedávno zvýšila. Po prostudování této hrozby dospěli analytici malwaru k závěru, že byla pravděpodobně vybudována od základů. To není neobvyklé, ale mnoho autorů RAT dává přednost půjčování kódu existujících hrozeb namísto vytváření nástroje od nuly. Podle odborníků je JhoneRAT psán v programovacím jazyce Python.
Obsah
Propagační metoda
JhoneRAT je distribuován pomocí spamových e-mailových kampaní. Jedná se o velmi oblíbenou metodu šíření malwaru. E-maily se spamem by obvykle obsahovaly poškozený připojený soubor. To platí i pro JhoneRAT. Přílohy používané při propagaci JhoneRAT mají dva typy - jeden prohlašuje, že je to důležitý dokument, který musí být naléhavě otevřen, zatímco druhý uvádí, že se jedná o archiv obsahující přihlašovací údaje pro Facebook, který byl únikem. Pokud uživatelé pro tento trik padnou a otevřou připojený soubor, spustí spuštění dalšího kroku útoku JhoneRAT.
Vyhýbá se detekci pomocí nástrojů proti malwaru
Autoři JhoneRAT používají velmi chytrý trik k maskování nebezpečné aktivity této hrozby. Po ohrožení cílového systému by JhoneRAT stáhl také další dokument Microsoft Office, který je hostován na Disku Google. Po stažení bude dokument spuštěn v systému. Útočníci se ujistili, že použití aplikací třetích stran (jako je Disk Google) má prioritu. To pomáhá autorům této RAT zamaskovat aktivitu hrozby a podvádět bezpečnostní nástroje tak, aby byly uvedeny jako legitimní.
Techniky sebezáchovy
Dodatečný dokument, který JhoneRAT získá z Disku Google, obsahuje modul, který je schopen skenovat infiltrovaný systém na přítomnost sériového čísla pevného disku, protože takové počítače, které jsou využívány pro ladění škodlivého softwaru, tak často chybí. To znamená, že JhoneRAT je schopen zjistit, zda je spuštěn v prostředí karantény nebo v běžném počítači. Pokud skenování zjistí, že systém není použit pro ladění škodlivého softwaru, JhoneRAT pokračuje v útoku a načte obrázek z Disku Google.
Cílové uživatele ze Středního východu a severní Afriky
Obrázek, který by JhoneRAT stáhl, obsahuje maskovaný řetězec, který je kódován pomocí base64. Dále by JhoneRAT příslušný řetězec dekódoval a extrahoval jako skript AutoIT. Tento skript slouží jako downloader, jehož cílem je chytit poslední užitečné zatížení hostované na Disku Google. Dále by JhoneRAT pokračoval v útoku kontrolou klávesnice, kterou oběť používá. JhoneRAT bude v kampani pokračovat, pouze pokud zjistí, že oběť používá klávesnici, která je typická pro Irák, Saúdskou Arábii, Libyi, Kuvajt, Libanon, Spojené arabské emiráty, Maroko, Tunisko, Omán, Egypt, Bahrajn, Jemen nebo Alžírsko.
Je zajímavé, že JhoneRAT přijímá příkazy prostřednictvím profilu Twitteru. Tato hrozba by se spojila s dotyčným účtem Twitter a proběhla by se všemi jeho nejnovějšími tweety. Podle výzkumníků v oblasti kybernetické bezpečnosti tvůrci JhoneRAT píší příkazy, které jsou zachyceny RAT a podle toho prováděny. Twitter od té doby zamával dotyčnému účtu. Autoři JhoneRAT bohužel mohou vytvořit nový účet Twitter a snadno pokračovat ve své kampani.
Schopnosti
JhoneRAT se při provádění svých příkazů spoléhá na aplikace třetích stran. Tato hrozba může pořizovat snímky obrazovky na ploše a aktivních oknech oběti. Data jsou poté přenesena do služby hostování obrázků nazvané ImgBB. Útočníci mohou také přikázat JhoneRAT stahovat a provádět další užitečná zatížení z Disku Google. Autoři JhoneRAT ji také mohou použít k provedení systémového příkazu. Výstup zaznamenaný jako odpověď je umístěn v dokumentu Google Forms, který je soukromý a je tedy přístupný pouze útočníkům.
Navzdory relativně krátkému seznamu schopností, které JhoneRAT disponuje, je skutečnost, že tato hrozba může maskovat jeho hotový provoz pomocí legitimních služeb, z toho důvodu, že je antivirové nástroje nemusí být schopna jej najít, spíše hrozbou. Je pravděpodobné, že autoři JhoneRAT jsou velmi zkušení a vysoce kvalifikovaní.
