JhoneRAT
JhoneRAT on vaikuttava RAT (Remote Access Trojan), jonka toiminta on kiihtynyt viime aikoina. Tutkittuaan tätä uhkaa, haittaohjelmien analyytikot päättelivät, että se on todennäköisesti rakennettu alusta alkaen. Tämä ei ole epätavallista, mutta monet RAT-kirjoittajat mieluummin lainaavat olemassa olevien uhkien koodin sen sijaan, että rakentaisi työkalun tyhjästä. Asiantuntijoiden mukaan JhoneRAT on kirjoitettu Python-ohjelmointikielellä.
Sisällysluettelo
Lisääntymismenetelmä
JhoneRAT jaetaan roskapostikampanjoiden avulla. Tämä on erittäin suosittu levitysmenetelmä haittaohjelmien levittämisessä. Yleensä roskapostit sisältävät vioittuneen liitetiedoston. Näin on myös JhoneRAT: n tapauksessa. JhoneRAThave-levityksessä käytetyt liitteet ovat kahta tyyppiä - yksi väittää olevansa tärkeä asiakirja, joka on avattava kiireellisesti, kun taas toisessa sanotaan, että se on vuotanut arkisto, joka sisältää Facebookin sisäänkirjautumistiedot. Jos käyttäjät torjuvat tämän tempun, avaa liitteenä oleva tiedosto, he käynnistävät JhoneRAT-iskun seuraavan vaiheen.
Vältä havaitsemista haittaohjelmien torjuntatyökaluilla
JhoneRAT: n kirjoittajat käyttävät erittäin taitava temppu peittääkseen tämän uhan vaarallisen toiminnan. Vaarannettuaan kohdistetun järjestelmän, JhoneRAT lataa myös toisen Microsoft Office -asiakirjan, joka isännöidään Google Drivessa. Kun asiakirja on ladattu, se käynnistetään järjestelmässä. Hyökkääjät ovat varmistaneet, että kolmansien osapuolten sovellusten (kuten Google Drive) käyttö on etusijalla. Tämä auttaa tämän RAT: n kirjoittajia peittämään uhan toiminnan ja huijaamaan tietoturvatyökalut luettelemaan sen lailliseksi.
Itsesäilytystekniikat
Lisäasiakirja, jonka JhoneRAT hakee Google Drivesta, sisältää moduulin, joka pystyy tarkistamaan soluttautuneen järjestelmän kiintolevyn sarjanumeron olemassaolon varalta, koska haittaohjelmien virheenkorjaukseen käytetyistä tietokoneista puuttuu sellainen usein. Tämä tarkoittaa, että JhoneRAT pystyy havaitsemaan, ajetaanko sitä hiekkalaatikkoympäristössä vai tavallisessa tietokoneessa. Jos tarkistus osoittaa, että järjestelmää ei käytetä haittaohjelmien virheenkorjaukseen, JhoneRAT jatkaa hyökkäystä ja hakee kuvan Google Drive -sovelluksesta.
Kohdennettu Lähi-idän ja Pohjois-Afrikan käyttäjiin
Kuva, jonka JhoneRAT lataa, sisältää naamioidun merkkijonon, joka on koodattu base64: llä. Seuraavaksi JhoneRAT purkaa kyseisen merkkijonon ja purkaa sen AutoIT-skriptinä. Tämä skripti toimii lataajana, jonka tavoitteena on napata viimeinen Google Drivessa ylläpidetty hyötykuorma. Seuraavaksi JhoneRAT jatkaisi hyökkäystä tarkistamalla uhrin käyttämän näppäimistön. JhoneRAT jatkaa kampanjaa vain, jos se havaitsee, että uhri käyttää Irakin, Saudi-Arabian, Libyan, Kuwaitin, Libanonin, Arabiemiirikuntien, Marokon, Tunisia, Omanin, Egyptin, Bahrainin, Jemenin tai Algerian tyypillistä näppäimistöä.
Mielenkiintoista, että JhoneRAT vastaanottaa komentoja Twitter-profiilin kautta. Tämä uhka liitetään kyseiseen Twitter-tiliin ja käydään läpi sen viimeisimmät twiitit. Kyberturvallisuustutkijoiden mukaan JhoneRAT: n luojat tweettivät komennot, jotka RAT on sieppaamassa ja suorittanut vastaavasti. Twitter on sittemmin heiluttanut kyseistä tiliä. Valitettavasti JhoneRAT: n kirjoittajat voivat luoda uuden Twitter-tilin ja jatkaa kampanjaaan helposti.
kyvyt
JhoneRAT luottaa komentojensa toteuttamiseen kolmannen osapuolen sovelluksilta. Tämä uhka voi ottaa kuvakaappauksia uhrin työpöydältä ja aktiivisista ikkunoista. Tiedot siirretään sitten kuvan hosting-palveluun nimeltään ImgBB. Hyökkääjät voivat myös käskeä JhoneRATia lataamaan ja suorittamaan lisähyötykuormat Google Drivesta. JhoneRAT: n kirjoittajat voivat käyttää sitä myös järjestelmän komennon suorittamiseen. Vastauksena tallennettu lähtö sijoitetaan Google Forms -asiakirjaan, joka on yksityinen ja jota vain hyökkääjät voivat käyttää.
Huolimatta JhoneRAT: n suhteellisen lyhyestä ominaisuuksien luettelosta, se, että tämä uhka voi peittää valmistetun liikenteen laillisia palveluita käyttämällä, tekee siitä varsin uhkaavan, koska virustorjuntatyökalut eivät ehkä pysty havaitsemaan sitä. On todennäköistä, että JhoneRATin kirjoittajat ovat erittäin kokeneita ja erittäin taitavia.
