JelusRAT
JelusRAT הוא טרויאני לגישה מרחוק (RAT) המעניק לפושעי סייבר שליטה חשאית על מחשבים שנפרצו. הוא פותח ב-C++, ומסתמך על טוען ייעודי כדי לפענח ולשחרר את המטען העיקרי שלו. במקום להתקין את עצמו כקובץ מסורתי, הנוזקה רצה ישירות בזיכרון, מה שמפחית משמעותית את טביעת הרגל שלה בדיסק ומקשה על הזיהוי. אם JelusRAT מזוהה במערכת, הסרה מיידית היא קריטית כדי למנוע פגיעה נוספת.
תוכן העניינים
הטוען המוסווה והביצוע ללא קבצים
שרשרת ההדבקה מתחילה בטוען שמתחזה לאפליקציה לגיטימית. רכיב זה מסתיר שני מקטעים מוצפנים: אחד מכיל את התוכנה הזדונית המרכזית והשני מאחסן נתוני תצורה. לאחר הפעלתו, הטוען מפענח את המטען הראשי ומשגר אותו ישירות לזיכרון המערכת, ולאחר מכן הטוען מוחק את עצמו כדי למחוק ראיות. טכניקה "ללא קבצים" זו תוכננה במיוחד כדי לעקוף הגנות אבטחה מסורתיות וניתוח פורנזי.
טיפול בתצורה וטקטיקות התגנבות
לאחר הביצוע, המטען הראשי ניגש לקובץ תצורה בשם Info.ini כדי לאחזר הוראות הפעלה. מיד לאחר קריאת הקובץ, הוא מוחק אותו כדי למזער עקבות של הפריצה. הנתונים בתוך קובץ זה מעורפלים, וערך מוטמע קטן, הממוקם בבייט הראשון, משמש את הנוזקה לפענוח ההוראות לפני שהן מבוצעות.
יכולות שליטה מרחוק וטיפול בפקודות
JelusRAT בנוי לקבל מגוון פקודות משרת של תוקף. הוא יכול להכריז על עצמו כתהליך מערכת קריטי, כלומר כל ניסיון לסיים אותו בכוח יכול להפעיל מסך כחול של Windows, מה שבפועל מרתיע הסרה ידנית. התוכנה הזדונית מסוגלת גם להשבית פונקציה זו, לשנות את אופן התקשורת שלה עם תשתית הפיקוד והבקרה שלה, או לכבות את עצמה כאשר ניתנה הוראה לכך.
פלטפורמה מודולרית המופעלת על ידי תוספים
במקום להכיל את כל הפונקציות הזדוניות באופן פנימי, JelusRAT פועל בעיקר כמסגרת. הוא יכול להוריד תוספים נוספים בצורת תוספי DLL משרת התוקף, ובכך להרחיב את הפונקציונליות שלו לפי דרישה. רוב היכולות שלו מסופקות דרך מודולים אלה, מה שמאפשר לגורמי האיום להתאים את התוכנה הזדונית למטרות שונות מבלי לפרוס מחדש את כל המטען.
ניתן למנף את JelusRAT כדי להחדיר סוגים אחרים של תוכנות זדוניות, כולל:
- תוכנות כופר, כורי מטבעות קריפטוגרפיים וכלים לגניבת מידע
- תוכנות זדוניות נוספות שמעמיקות או מרחיבות את הפגיעה במערכת
מדוע JelusRAT מהווה סיכון חמור
JelusRAT בולט כאיום חשאי וגמיש ביותר. הביצועים שלו בזיכרון, התנהגות המחיקה העצמית והעיצוב מבוסס התוספים מאפשרים לו להתחמק מגילוי תוך שמירה על שליטה מתמשכת וגמישה על מערכות נגועות. תכונות אלו הופכות אותו למסוכן במיוחד, מכיוון שהוא יכול לשמש בקלות כפלטפורמת שיגור לתוכנות זדוניות הרסניות יותר ולפעולות פושעי סייבר בקנה מידה גדול.
וקטורי זיהום נפוצים ושיטות הפצה
תוכנות זדוניות כמו JelusRAT מתפשטות לרוב באמצעות הנדסה חברתית ושיטות מקוונות מטעות. תוקפים בדרך כלל מפתים קורבנות להפעיל קבצים זדוניים במסווה של תוכן לגיטימי, כולל קבצי הרצה, סקריפטים ופורמטים של מסמכים כגון Word, Excel, PDF או תמונות ISO. קמפיינים של הדבקה מסתמכים לעתים קרובות על מיילים של פישינג, פרסומות מזויפות, הונאות תמיכה טכנית, תוכנות פיראטיות ואתרים פרוצים כדי לספק מטענים אלה.
ערוצי הפצה מבוססים אחרים כוללים כונני USB נגועים, רשתות עמית לעמית, תוכנות הורדה של צד שלישי וניצול פגיעויות תוכנה שלא תוקנו. ברוב המקרים, הדבקות מוצלחות מתרחשות משום שמשתמשים מוטעים לבצע פעולה שמעניקה לתוכנה הזדונית, מבלי דעת, דריסת רגל.
