JhoneRAT
JhoneRAT je impresivan RAT (Remote Access Trojan) čija je aktivnost u posljednje vrijeme skočila. Nakon proučavanja ove prijetnje, analitičari zlonamjernog softvera zaključili su da je ona najvjerojatnije izgrađena iz temelja. To nije neobično, ali mnogi autori RAT-a radije pozajmljuju kod postojećih prijetnji umjesto da grade alat od nule. Prema stručnjacima, JhoneRAT je napisan na programskom jeziku Python.
Sadržaj
Način širenja
JhoneRAT se distribuira uz pomoć kampanja za neželjenu poštu. Ovo je vrlo popularna metoda širenja kada je u pitanju širenje zlonamjernog softvera. Neželjena pošta obično sadrži oštećenu priloženu datoteku. To je slučaj i s JhoneRAT-om. Prilozi koji se koriste u razmnožavanju JhoneRAT-a imaju dvije vrste - jedna tvrdi da je važan dokument koji se mora hitno otvoriti, dok druga navodi da se radi o arhivi koja sadrži provjere vjerodajnica za prijavu na Facebook. Ako korisnicima padnu na ovaj trik, otvori priloženu datoteku, pokrenut će izvršenje sljedećeg koraka JhoneRAT-ovog napada.
Izbjegava otkrivanje alatima protiv zlonamjernog softvera
Autori JhoneRAT koriste vrlo pametan trik kako bi prikrili nesigurnu aktivnost ove prijetnje. Nakon ugrožavanja ciljanog sustava, JhoneRAT će također preuzeti drugi Microsoft Office dokument koji se nalazi na Google disku. Nakon preuzimanja dokument će se pokrenuti u sustavu. Napadači su se pobrinuli da prioritet bude upotrebi aplikacija trećih strana (poput Google diska). To pomaže autorima ovog RAT-a da prikriju djelatnost prijetnje i izigraju sigurnosne alate kako bi ih nabrojali kao legitimne.
Tehnike samoočuvanja
Dodatni dokument koji JhoneRAT dohvaća s Google diska nosi modul koji može skenirati infiltrirani sustav radi prisutnosti serijskog broja tvrdog diska, jer računala koja se koriste za uklanjanje pogrešaka u malware-u često nemaju takav. To znači da je JhoneRAT u stanju otkriti da li se izvodi u okruženju s pijeskom ili na običnom računalu. Ako skeniranje utvrdi da se sustav ne koristi za uklanjanje pogrešaka u zlonamjernom softveru, JhoneRAT će započeti napad i dohvatiti sliku s Google diska.
Cilja korisnike s Bliskog Istoka i Sjeverne Afrike
Slika koju bi JhoneRAT preuzeo sadrži maskirani niz koji je kodiran s base64. Zatim bi JhoneRAT dekodirao predmetni niz i izdvojio ga kao AutoIT skriptu. Ova skripta služi za preuzimanje čiji je cilj prikupiti posljednji korisni teret smješten na Google disku. Zatim bi JhoneRAT nastavio napad provjerom tipkovnice koju žrtva koristi. JhoneRAT će nastaviti kampanju samo ako otkrije da žrtva koristi tipkovnicu koja je tipična za Irak, Saudijsku Arabiju, Libiju, Kuvajt, Libanon, UAE, Maroko, Tunis, Oman, Egipat, Bahrein, Jemen ili Alžir.
Zanimljivo je da JhoneRAT prima naredbe putem Twitter profila. Ova bi se prijetnja povezala s predmetnim računom na Twitteru i prolazila kroz sve njegove najnovije tweetove. Prema istraživačima kibernetičke sigurnosti, tvorci JhoneRAT-a tvituju naredbe koje RAT presreću i izvršavaju u skladu s tim. Twitter je odustao od dotičnog računa. Nažalost, autori JhoneRAT-a mogu stvoriti novi Twitter račun i jednostavno nastaviti svoju kampanju.
sposobnosti
JhoneRAT se za izvršavanje svojih naredbi oslanja na aplikacije drugih proizvođača. Ova prijetnja može uzeti snimke zaslona žrtve i radni prozori. Podaci se zatim prenose u uslugu hostinga slika pod nazivom ImgBB. Napadači također mogu narediti JhoneRAT-u za preuzimanje i izvršavanje dodatnih korisnih tereta s Google diska. Autori JhoneRAT-a mogu ga koristiti i za izvršavanje sistemske naredbe. Izlaz zabilježen kao odgovor nalazi se u dokumentu Google Forms koji je privatan i na taj način dostupan samo napadačima.
Unatoč relativno kratkom popisu mogućnosti koje posjeduje JhoneRAT, činjenica da ova prijetnja može prikriti zamišljeni promet koristeći zakonite usluge čini je prijetećom jer antivirusni alati možda nisu u mogućnosti primijetiti je. Vjerojatno su autori JhoneRAT-a vrlo iskusni i vrlo vješti.
