JelusRAT

JelusRAT یک تروجان دسترسی از راه دور (RAT) است که به مجرمان سایبری امکان کنترل مخفیانه بر روی رایانه‌های آلوده را می‌دهد. این بدافزار که با زبان برنامه‌نویسی C++ توسعه داده شده است، برای رمزگشایی و انتشار محتوای اصلی خود به یک لودر تخصصی متکی است. این بدافزار به جای نصب خود به عنوان یک فایل سنتی، مستقیماً در حافظه اجرا می‌شود و به طور قابل توجهی ردپای خود را روی دیسک کاهش می‌دهد و تشخیص آن را دشوارتر می‌کند. اگر JelusRAT در سیستمی شناسایی شود، حذف فوری آن برای جلوگیری از آلودگی بیشتر بسیار مهم است.

لودر پنهان و اجرای بدون فایل

زنجیره آلودگی با یک لودر آغاز می‌شود که خود را به عنوان یک برنامه قانونی جا می‌زند. این مؤلفه دو بخش رمزگذاری شده را پنهان می‌کند: یکی حاوی بدافزار اصلی و دیگری داده‌های پیکربندی را ذخیره می‌کند. پس از فعال شدن، لودر، بار داده اصلی را رمزگشایی کرده و آن را مستقیماً در حافظه سیستم راه‌اندازی می‌کند، پس از آن لودر خود را حذف می‌کند تا شواهد را پاک کند. این تکنیک «بدون فایل» به طور خاص برای دور زدن دفاع‌های امنیتی سنتی و تجزیه و تحلیل‌های پزشکی قانونی طراحی شده است.

مدیریت پیکربندی و تاکتیک‌های مخفی‌کاری

پس از اجرا، بدافزار اصلی برای بازیابی دستورالعمل‌های عملیاتی به یک فایل پیکربندی به نام Info.ini دسترسی پیدا می‌کند. بلافاصله پس از خواندن فایل، آن را حذف می‌کند تا ردپای نفوذ به حداقل برسد. داده‌های داخل این فایل مبهم‌سازی می‌شوند و یک مقدار کوچک جاسازی‌شده، که در بایت اول قرار دارد، توسط بدافزار برای رمزگشایی دستورالعمل‌ها قبل از اجرا استفاده می‌شود.

قابلیت‌های کنترل از راه دور و مدیریت فرمان

JelusRAT طوری ساخته شده است که طیف وسیعی از دستورات را از سرور مهاجم بپذیرد. این بدافزار می‌تواند خود را یک فرآیند حیاتی سیستم اعلام کند، به این معنی که هرگونه تلاش برای خاتمه اجباری آن می‌تواند باعث ایجاد صفحه آبی ویندوز شود و عملاً حذف دستی را منصرف کند. این بدافزار همچنین قادر است این عملکرد را غیرفعال کند، نحوه ارتباط خود با زیرساخت فرمان و کنترل خود را تغییر دهد یا در صورت دریافت دستور، خود را خاموش کند.

یک پلتفرم ماژولار که توسط افزونه‌ها پشتیبانی می‌شود

JelusRAT به جای اینکه تمام عملکردهای مخرب را به صورت داخلی در خود جای دهد، در درجه اول به عنوان یک چارچوب عمل می‌کند. می‌تواند افزونه‌های اضافی را به شکل افزونه‌های DLL از سرور مهاجم دانلود کند و قابلیت‌های خود را بر اساس تقاضا گسترش دهد. بیشتر قابلیت‌های آن از طریق این ماژول‌ها ارائه می‌شود و به مهاجمان اجازه می‌دهد تا بدافزار را برای اهداف مختلف تطبیق دهند، بدون اینکه کل بار داده را مجدداً مستقر کنند.

JelusRAT می‌تواند برای معرفی انواع دیگر بدافزارها، از جمله موارد زیر، مورد استفاده قرار گیرد:

• باج‌افزار، استخراج‌کنندگان ارز دیجیتال و ابزارهای سرقت اطلاعات
• برنامه‌های مخرب اضافی که نفوذ به سیستم را عمیق‌تر یا گسترده‌تر می‌کنند

چرا JelusRAT یک خطر جدی است؟

JelusRAT به عنوان یک تهدید مخفیانه و بسیار انعطاف‌پذیر شناخته می‌شود. اجرای درون حافظه‌ای، رفتار خود-حذفی و طراحی مبتنی بر افزونه آن به آن اجازه می‌دهد تا از شناسایی شدن فرار کند و در عین حال کنترل مداوم و قابل تنظیم بر سیستم‌های آلوده را حفظ کند. این ویژگی‌ها آن را به طور ویژه‌ای خطرناک می‌کند، زیرا می‌تواند به راحتی به عنوان بستری برای بدافزارهای مخرب‌تر و عملیات‌های مجرمان سایبری در مقیاس بزرگ عمل کند.

ناقل‌های رایج عفونت و روش‌های توزیع

بدافزارهایی مانند JelusRAT اغلب از طریق مهندسی اجتماعی و شیوه‌های فریبنده آنلاین پخش می‌شوند. مهاجمان معمولاً قربانیان را فریب می‌دهند تا فایل‌های مخرب را که به عنوان محتوای قانونی، از جمله فایل‌های اجرایی، اسکریپت‌ها و قالب‌های سند مانند Word، Excel، PDF یا تصاویر ISO پنهان شده‌اند، اجرا کنند. کمپین‌های آلوده‌سازی اغلب برای انتقال این پیلودها به ایمیل‌های فیشینگ، تبلیغات جعلی، کلاهبرداری‌های پشتیبانی فنی، نرم‌افزارهای دزدی و وب‌سایت‌های آلوده متکی هستند.

سایر کانال‌های توزیع موجود شامل درایوهای USB آلوده، شبکه‌های نظیر به نظیر، ابزارهای دانلود شخص ثالث و سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری اصلاح‌نشده است. در بیشتر موارد، آلودگی‌های موفقیت‌آمیز به این دلیل رخ می‌دهند که کاربران فریب می‌خورند تا عملی را انجام دهند که ناخودآگاه به بدافزار اجازه ورود می‌دهد.