Άδειες χρήσης πολλών συσκευών (εκπτώσεις όγκου)
Threat Database Remote Administration Tools JhoneRAT

JhoneRAT

Μέχρι το GoldSparrow το Remote Administration Tools
Μετάφραση σε:
Ελληνικά

Το JhoneRAT είναι ένα εντυπωσιακό RAT (Trojan Remote Access), του οποίου η δραστηριότητα έχει συσσωρευτεί πρόσφατα. Μετά τη μελέτη αυτής της απειλής, οι αναλυτές κακόβουλου λογισμικού κατέληξαν στο συμπέρασμα ότι είναι πιθανό να έχουν κατασκευαστεί από την αρχή. Αυτό δεν είναι ασυνήθιστο, αλλά πολλοί συντάκτες των RAT προτιμούν να δανείζουν τον κώδικα των υφιστάμενων απειλών αντί να κατασκευάζουν ένα εργαλείο από την αρχή. Σύμφωνα με τους ειδικούς, το JhoneRAT γράφεται στη γλώσσα προγραμματισμού Python.

Μέθοδος πολλαπλασιασμού

Το JhoneRAT διανέμεται με τη βοήθεια εκστρατειών ηλεκτρονικού ταχυδρομείου ανεπιθύμητων μηνυμάτων. Αυτή είναι μια πολύ δημοφιλής μέθοδος διάδοσης όταν πρόκειται για την εξάπλωση κακόβουλου λογισμικού. Συνήθως, τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου θα περιέχουν ένα κατεστραμμένο συνημμένο αρχείο. Αυτό συμβαίνει και με το JhoneRAT. Τα συνημμένα που χρησιμοποιούνται για τη διάδοση του JhoneRAThave δύο τύπους - ένας ισχυρίζεται ότι είναι ένα σημαντικό έγγραφο που πρέπει να ανοίξει επειγόντως, ενώ το άλλο δηλώνει ότι είναι ένα αρχείο που περιέχει διαπιστευτήρια σύνδεσης στο Facebook που έχουν διαρρεύσει. Εάν οι χρήστες πέσουν για αυτό το τέχνασμα ανοίξουν το συνημμένο αρχείο, θα ενεργοποιήσουν την εκτέλεση του επόμενου βήματος της επίθεσης του JhoneRAT.

Αποφεύγει την ανίχνευση από εργαλεία προστασίας από κακόβουλο λογισμικό

Οι συντάκτες του JhoneRAT χρησιμοποιούν ένα πολύ έξυπνο τέχνασμα για να αποκρύψουν την ανασφαλή δραστηριότητα αυτής της απειλής. Με το συμβιβασμό στο στοχευόμενο σύστημα, το JhoneRAT θα κατεβάσει επίσης ένα άλλο έγγραφο του Microsoft Office που φιλοξενείται στο Google Drive. Μετά τη λήψη, το έγγραφο θα εκκινηθεί στο σύστημα. Οι επιτιθέμενοι έχουν βεβαιωθεί ότι η χρήση εφαρμογών τρίτων (όπως το Google Drive) έχει προτεραιότητα. Αυτό βοηθά τους συγγραφείς αυτού του RAT να συγκαλύψουν τη δραστηριότητα των απειλών και τα εργαλεία ασφάλειας τέχνης για να την καταστήσουν νόμιμη.

Τεχνικές αυτοσυντήρησης

Το πρόσθετο έγγραφο που ανακτά το JhoneRAT από το Google Drive φέρει μια ενότητα ικανή να σαρώνει το διεισδυμένο σύστημα για την παρουσία ενός σειριακού αριθμού σκληρού δίσκου, καθώς οι υπολογιστές που χρησιμοποιούνται για σφάλματα κακόβουλου λογισμικού συχνά δεν διαθέτουν τέτοιο. Αυτό σημαίνει ότι το JhoneRAT είναι σε θέση να ανιχνεύσει εάν εκτελείται σε περιβάλλον sandbox ή σε κανονικό υπολογιστή. Εάν η σάρωση καθορίσει ότι το σύστημα δεν χρησιμοποιείται για την επίλυση κακόβουλου λογισμικού, το JhoneRAT θα συνεχίσει με την επίθεση και θα ανακτήσει μια εικόνα από το Google Drive.

Στοχεύει χρήστες από τη Μέση Ανατολή και τη Βόρεια Αφρική

Η εικόνα που θα κατεβάσει το JhoneRAT περιέχει μια μάσκα συμβολοσειρά που κωδικοποιείται με το base64. Στη συνέχεια, το JhoneRAT θα αποκωδικοποιήσει την εν λόγω συμβολοσειρά και θα την εξαγάγει ως script AutoIT. Αυτό το σενάριο λειτουργεί ως πρόγραμμα λήψης του οποίου ο στόχος είναι να αρπάξει το τελευταίο ωφέλιμο φορτίο που φιλοξενείται στο Google Drive. Στη συνέχεια, το JhoneRAT θα προχωρήσει με την επίθεση ελέγχοντας το πληκτρολόγιο που χρησιμοποιεί το θύμα. Το JhoneRAT θα συνεχίσει την εκστρατεία μόνο εάν εντοπίσει ότι το θύμα χρησιμοποιεί ένα πληκτρολόγιο που είναι χαρακτηριστικό για το Ιράκ, τη Σαουδική Αραβία, τη Λιβύη, το Κουβέιτ, το Λίβανο, τα ΗΑΕ, το Μαρόκο, την Τυνησία, το Ομάν, την Αίγυπτο, το Μπαχρέιν, την Υεμένη ή την Αλγερία.

Είναι ενδιαφέρον ότι το JhoneRAT λαμβάνει εντολές μέσω ενός προφίλ Twitter. Αυτή η απειλή θα συνδεθεί με τον εν λόγω λογαριασμό Twitter και θα τρέξει μέσω όλων των πιο πρόσφατων tweets. Σύμφωνα με τους ερευνητές του κυβερνοχώρου, οι δημιουργοί του JhoneRAT τιτίζουν τις εντολές που συλλαμβάνονται από το RAT και εκτελούνται ανάλογα. Το Twitter έχει μεταφέρει από τότε τον εν λόγω λογαριασμό. Δυστυχώς, οι συντάκτες του JhoneRAT μπορούν να δημιουργήσουν ένα νέο λογαριασμό στο Twitter και να συνεχίσουν εύκολα την καμπάνια τους.

Δυνατότητες

Το JhoneRAT βασίζεται σε εφαρμογές τρίτων για την εκτέλεση των εντολών του. Αυτή η απειλή μπορεί να πάρει screenshots της επιφάνειας εργασίας του θύματος και των ενεργών παραθύρων. Στη συνέχεια, τα δεδομένα μεταφέρονται σε μια υπηρεσία φιλοξενίας εικόνων που ονομάζεται ImgBB. Οι εισβολείς μπορούν επίσης να εντοπίσουν το JhoneRAT για τη λήψη και εκτέλεση πρόσθετων ωφέλιμων φορτίων από το Google Drive. Οι συντάκτες του JhoneRAT μπορούν επίσης να το χρησιμοποιήσουν για να εκτελέσουν μια εντολή συστήματος. Η έξοδος που καταγράφεται ως απάντηση τοποθετείται σε έγγραφο του Google Forms που είναι ιδιωτικό και επομένως είναι προσβάσιμο μόνο στους εισβολείς.

Παρά το σχετικά σύντομο κατάλογο των δυνατοτήτων που διαθέτει το JhoneRAT, το γεγονός ότι αυτή η απειλή μπορεί να καλύψει την έτοιμη κυκλοφορία του χρησιμοποιώντας νόμιμες υπηρεσίες, το κάνει μάλλον απειλητικό, επειδή τα εργαλεία προστασίας από ιούς ενδέχεται να μην το εντοπίσουν. Είναι πιθανό οι συντάκτες του JhoneRAT να είναι πολύ έμπειροι και πολύ εξειδικευμένοι.

Τάσεις

Απάτη ηλεκτρονικού ταχυδρομείου «YouPorn».

Spam
Μετά από ενδελεχή εξέταση των μηνυμάτων ηλεκτρονικού ταχυδρομείου «YouPorn», ειδικοί στον τομέα της κυβερνοασφάλειας επιβεβαίωσαν τον δόλιο χαρακτήρα τους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου αποτελούν μέρος διαφόρων παραλλαγών ανεπιθύμητης αλληλογραφίας, όλα μοιάζουν με τακτικές εκτροπής. Το κοινό νήμα μεταξύ αυτών των παραπλανητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου είναι ένας...

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
14,963
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...