JelusRAT
Το JelusRAT είναι ένα trojan απομακρυσμένης πρόσβασης (RAT) που παρέχει στους κυβερνοεγκληματίες μυστικό έλεγχο σε υπολογιστές που έχουν παραβιαστεί. Αναπτύχθηκε σε C++ και βασίζεται σε ένα εξειδικευμένο πρόγραμμα φόρτωσης για την αποκρυπτογράφηση και την απελευθέρωση του κύριου φορτίου του. Αντί να εγκαθίσταται ως παραδοσιακό αρχείο, το κακόβουλο λογισμικό εκτελείται απευθείας στη μνήμη, μειώνοντας σημαντικά το αποτύπωμά του στον δίσκο και καθιστώντας την ανίχνευση πιο δύσκολη. Εάν εντοπιστεί JelusRAT σε ένα σύστημα, η άμεση αφαίρεσή του είναι κρίσιμη για την αποτροπή περαιτέρω παραβίασης.
Πίνακας περιεχομένων
Ο Μεταμφιεσμένος Φορτωτής και η Εκτέλεση χωρίς Αρχεία
Η αλυσίδα μόλυνσης ξεκινά με έναν φορτωτή που μεταμφιέζεται σε νόμιμη εφαρμογή. Αυτό το στοιχείο κρύβει δύο κρυπτογραφημένα τμήματα: το ένα περιέχει το βασικό κακόβουλο λογισμικό και το άλλο αποθηκεύει δεδομένα διαμόρφωσης. Μόλις ενεργοποιηθεί, ο φορτωτής αποκρυπτογραφεί το κύριο ωφέλιμο φορτίο και το εκκινεί απευθείας στη μνήμη του συστήματος, μετά το οποίο διαγράφεται για να διαγράψει αποδεικτικά στοιχεία. Αυτή η τεχνική «χωρίς αρχεία» έχει σχεδιαστεί ειδικά για να παρακάμπτει τις παραδοσιακές άμυνες ασφαλείας και την εγκληματολογική ανάλυση.
Χειρισμός διαμόρφωσης και τακτικές μυστικότητας
Μετά την εκτέλεση, το κύριο ωφέλιμο φορτίο αποκτά πρόσβαση σε ένα αρχείο διαμόρφωσης με το όνομα Info.ini για να ανακτήσει οδηγίες λειτουργίας. Αμέσως μετά την ανάγνωση του αρχείου, το διαγράφει για να ελαχιστοποιήσει τα ίχνη της εισβολής. Τα δεδομένα μέσα σε αυτό το αρχείο συσκοτίζονται και μια μικρή ενσωματωμένη τιμή, που βρίσκεται στο πρώτο byte, χρησιμοποιείται από το κακόβουλο λογισμικό για την αποκωδικοποίηση των οδηγιών πριν από την εκτέλεσή τους.
Δυνατότητες τηλεχειρισμού και χειρισμός εντολών
Το JelusRAT έχει σχεδιαστεί για να δέχεται μια σειρά εντολών από τον διακομιστή ενός εισβολέα. Μπορεί να αυτοανακηρυχθεί κρίσιμη διεργασία συστήματος, που σημαίνει ότι οποιαδήποτε προσπάθεια βίαιου τερματισμού του μπορεί να ενεργοποιήσει μια μπλε οθόνη των Windows, αποθαρρύνοντας αποτελεσματικά τη χειροκίνητη αφαίρεση. Το κακόβουλο λογισμικό είναι επίσης σε θέση να απενεργοποιήσει αυτήν τη λειτουργία, να αλλάξει τον τρόπο με τον οποίο επικοινωνεί με την υποδομή εντολών και ελέγχου του ή να τερματιστεί μόνο του όταν του δοθεί εντολή.
Μια αρθρωτή πλατφόρμα που υποστηρίζεται από πρόσθετα (plugins)
Αντί να περιέχει όλες τις κακόβουλες λειτουργίες εσωτερικά, το JelusRAT λειτουργεί κυρίως ως framework. Μπορεί να κατεβάσει πρόσθετα με τη μορφή plugins DLL από τον διακομιστή του εισβολέα, επεκτείνοντας τη λειτουργικότητά του κατόπιν ζήτησης. Οι περισσότερες από τις δυνατότητές του παρέχονται μέσω αυτών των ενοτήτων, επιτρέποντας στους απειλητικούς παράγοντες να προσαρμόσουν το κακόβουλο λογισμικό σε διαφορετικούς στόχους χωρίς να αναδιατάξουν ολόκληρο το ωφέλιμο φορτίο.
Το JelusRAT μπορεί να αξιοποιηθεί για την εισαγωγή άλλων τύπων κακόβουλου λογισμικού, όπως:
- Ransomware, εξορύκτες κρυπτονομισμάτων και εργαλεία κλοπής πληροφοριών
- Πρόσθετα κακόβουλα προγράμματα που εμβαθύνουν ή διευρύνουν την παραβίαση του συστήματος
Γιατί το JelusRAT αποτελεί σοβαρό κίνδυνο
Το JelusRAT ξεχωρίζει ως μια αθόρυβη και εξαιρετικά ευέλικτη απειλή. Η εκτέλεση στη μνήμη, η συμπεριφορά αυτοδιαγραφής και ο σχεδιασμός που βασίζεται σε πρόσθετα (plugins) του επιτρέπουν να αποφεύγει την ανίχνευση, διατηρώντας παράλληλα επίμονο, προσαρμόσιμο έλεγχο στα μολυσμένα συστήματα. Αυτά τα χαρακτηριστικά το καθιστούν ιδιαίτερα επικίνδυνο, καθώς μπορεί εύκολα να χρησιμεύσει ως πλατφόρμα εκτόξευσης για πιο καταστροφικό κακόβουλο λογισμικό και μεγάλης κλίμακας κυβερνοεγκληματικές επιχειρήσεις.
Κοινοί φορείς μόλυνσης και μέθοδοι διανομής
Τα κακόβουλα προγράμματα όπως το JelusRAT εξαπλώνονται συχνότερα μέσω κοινωνικής μηχανικής και παραπλανητικών διαδικτυακών πρακτικών. Οι εισβολείς συνήθως παρασύρουν τα θύματα ώστε να εκτελέσουν κακόβουλα αρχεία που μεταμφιέζονται σε νόμιμο περιεχόμενο, συμπεριλαμβανομένων εκτελέσιμων αρχείων, σεναρίων και μορφών εγγράφων όπως εικόνες Word, Excel, PDF ή ISO. Οι εκστρατείες μόλυνσης βασίζονται συχνά σε email ηλεκτρονικού "ψαρέματος" (phishing), ψεύτικες διαφημίσεις, απάτες τεχνικής υποστήριξης, πειρατικό λογισμικό και παραβιασμένους ιστότοπους για την παράδοση αυτών των φορτίων.
Άλλα καθιερωμένα κανάλια διανομής περιλαμβάνουν μολυσμένες μονάδες USB, δίκτυα peer-to-peer, βοηθητικά προγράμματα λήψης τρίτων και εκμετάλλευση τρωτών σημείων λογισμικού που δεν έχουν ενημερωθεί. Στις περισσότερες περιπτώσεις, οι επιτυχημένες μολύνσεις συμβαίνουν επειδή οι χρήστες εξαπατώνται ώστε να εκτελέσουν μια ενέργεια που εν αγνοία τους παρέχει στο κακόβουλο λογισμικό μια βάση.
