JhoneRAT
JhoneRAT er en imponerende RAT (Remote Access Trojan), hvis aktivitet for nylig er pigget. Efter at have undersøgt denne trussel konkluderede malware-analytikere, at den sandsynligvis er blevet bygget fra bunden af. Dette er ikke usædvanligt, men mange forfattere af RATs foretrækker at låne koden til eksisterende trusler i stedet for at opbygge et værktøj fra bunden. Ifølge eksperterne er JhoneRAT skrevet på Python-programmeringssprog.
Indholdsfortegnelse
Formeringsmetode
JhoneRAT distribueres ved hjælp af spam e-mail-kampagner. Dette er en meget populær formeringsmetode, når det kommer til spredning af malware. Normalt indeholder spam-e-mails en beskadiget vedhæftet fil. Dette er også tilfældet med JhoneRAT. De vedhæftede filer, der blev brugt i udbredelsen af JhoneRAT, har to typer - den ene hævder at være et vigtigt dokument, der skal åbnes hurtigst muligt, mens den anden siger, at det er et arkiv, der indeholder Facebook-loginoplysninger, der er lækket. Hvis brugerne falder for dette trick og åbner den vedhæftede fil, udløser de udførelsen af det næste trin i JhoneRAT's angreb.
Undgår detektion med anti-malware-værktøjer
Forfatterne af JhoneRAT bruger et meget smart trick til at maskere den usikre aktivitet af denne trussel. Efter kompromis med det målrettede system vil JhoneRAT også downloade et andet Microsoft Office-dokument, der er vært på Google Drive. Når dokumentet er downloadet, vil det blive lanceret på systemet. Angriberen har sørget for, at brug af tredjepartsprogrammer (som Google Drive) prioriteres. Dette hjælper forfatterne til denne RAT til at skjule aktiviteten af truslen og narre sikkerhedsværktøjer til at anføre den som legitim.
Selvbevarende teknikker
Det yderligere dokument, som JhoneRAT henter fra Google Drev, indeholder et modul, der er i stand til at scanne det infiltrerede system for tilstedeværelsen af et serienummer på en harddisk, da computere, der bruges til malware-fejlsøgning ofte mangler sådanne. Dette betyder, at JhoneRAT er i stand til at registrere, om det køres i et sandkassemiljø eller en almindelig computer. Hvis scanningen bestemmer, at systemet ikke bruges til malware-fejlsøgning, fortsætter JhoneRAT med angrebet og henter et billede fra Google Drev.
Målretter mod brugere fra Mellemøsten og Nordafrika
Billedet, som JhoneRAT vil downloade, indeholder en maskeret streng, der er kodet med base64. Dernæst afkodede JhoneRAT den aktuelle streng og pakker den ud som et AutoIT-script. Dette script fungerer som en downloader, hvis mål er at få fat i den sidste nyttelast, der er vært på Google Drive. Derefter fortsætter JhoneRAT med angrebet ved at kontrollere det tastatur, offeret bruger. JhoneRAT vil kun fortsætte kampagnen, hvis det registrerer, at offeret bruger et tastatur, der er typisk for Irak, Saudi-Arabien, Libyen, Kuwait, Libanon, UAE, Marokko, Tunesien, Oman, Egypten, Bahrain, Yemen eller Algeriet.
Interessant nok modtager JhoneRAT kommandoer via en Twitter-profil. Denne trussel vil oprette forbindelse til den aktuelle Twitter-konto og køre gennem alle de seneste tweets. Ifølge cybersecurity-forskere twitrer JhoneRAT's skabere kommandoer, der bliver opfanget af RAT og udført i overensstemmelse hermed. Twitter har siden viftet med den pågældende konto. Desværre kan forfatterne af JhoneRAT oprette en ny Twitter-konto og fortsætte deres kampagne let.
Capabilities
JhoneRAT er afhængig af applikationer fra tredjepart for at udføre sine kommandoer. Denne trussel kan tage skærmbilleder af offerets skrivebord og aktive vinduer. Dataene overføres derefter til en billedhostingstjeneste kaldet ImgBB. Angriberen kan også kommandere JhoneRAT til at downloade og udføre yderligere nyttelast fra Google Drev. Forfatterne af JhoneRAT kan også bruge det til at udføre en systemkommando. Outputet, der er optaget som et svar, placeres i et Google Forms-dokument, der er privat og således kun tilgængeligt for angribere.
På trods af den relativt korte liste over funktioner, som JhoneRAT besidder, er det faktum, at denne trussel kan maskere dens sammensatte trafik ved hjælp af legitime tjenester, det snarere truende, fordi antivirusværktøjer muligvis ikke er i stand til at se den. Det er sandsynligt, at forfatterne af JhoneRAT er meget erfarne og meget dygtige.
