JhoneRAT

A JhoneRAT egy lenyűgöző RAT (Remote Access Trojan), amelynek tevékenysége a közelmúltban lendületet kapott. Miután megvizsgálta ezt a fenyegetést, a rosszindulatú programok elemzői arra a következtetésre jutottak, hogy valószínűleg az alapból építették fel. Ez nem szokatlan, de a RAT-ok sok szerzője inkább a meglévő fenyegetések kódját kölcsönzi ahelyett, hogy egy szerszámot a semmiből építené. A szakértők szerint a JhoneRAT Python programozási nyelven készült.

Terjedési módszer

A JhoneRAT terjesztése spam e-mail kampányok segítségével történik. Ez egy nagyon népszerű terjesztési módszer a rosszindulatú programok terjesztésekor. A spam e-mailek általában sérült csatolt fájlt tartalmaznak. Ez a helyzet a JhoneRAT esetében is. A JhoneRAThave terjesztésében alkalmazott kétféle melléklet: az egyik fontos dokumentum, amelyet sürgősen meg kell nyitni, míg a másik kijelenti, hogy egy archívum, amely kiszivárogtatta a Facebook bejelentkezési hitelesítő adatait. Ha a felhasználók elmulasztják ezt a trükköt, nyissák meg a mellékelt fájlt, akkor a JhoneRAT támadásának következő lépését végrehajtják.

Kerülheti a rosszindulatú programok elleni észlelést

A JhoneRAT szerzői egy nagyon okos trükköt használnak a fenyegetés nem biztonságos tevékenységének elfedésére. A célzott rendszer veszélyeztetésekor a JhoneRAT letölt egy másik Microsoft Office dokumentumot is, amelyet a Google Drive-on tárol. A letöltés után a dokumentum elindul a rendszeren. A támadók megbizonyosodtak arról, hogy a harmadik féltől származó alkalmazások (például a Google Drive) használata elsőbbséget élvez. Ez elősegíti a RAT szerzőit, hogy álruházzák a fenyegetés tevékenységét, és becsapják a biztonsági eszközöket annak legitimként történő felsorolásába.

Önmegőrzési technikák

A JhoneRAT által a Google Drive-ból beolvasott kiegészítő dokumentum olyan modult tartalmaz, amely képes beszűrni a beszivárogtatott rendszert a merevlemez-sorozatszám meglétére, mivel a rosszindulatú programok hibakereséséhez használt számítógépeknek gyakran hiányzik. Ez azt jelenti, hogy a JhoneRAT képes felismerni, hogy homokozóban vagy normál számítógépen fut-e. Ha a vizsgálat során megállapítást nyer, hogy a rendszert nem használják rosszindulatú programok hibakeresésére, a JhoneRAT folytatja a támadást, és lehív egy képet a Google Drive-ból.

Cél a közel-keleti és észak-afrikai felhasználókról

A JhoneRAT által letöltött kép egy maszkos karakterláncot tartalmaz, amelyet az base64 kódol. Ezután a JhoneRAT dekódolja a kérdéses karakterláncot, és kibontja azt AutoIT szkriptként. Ez a szkript letöltőként szolgál, amelynek célja a Google Drive-on tárolt utolsó hasznos teher megragadása. Ezután a JhoneRAT folytatja a támadást, ellenőrizve az áldozat által használt billentyűzetet. A JhoneRAT csak akkor folytatja a kampányt, ha észleli, hogy az áldozat olyan billentyűzetet használ, amely jellemző Irakban, Szaúd-Arábiában, Líbiában, Kuvaitban, Libanonban, Egyesült Arab Emírségekben, Marokkóban, Tunéziában, Ománban, Egyiptomban, Bahreinben, Jemenben vagy Algériában.

Érdekes módon a JhoneRAT parancsokat kap egy Twitter profilon keresztül. Ez a fenyegetés kapcsolódhat a kérdéses Twitter-fiókhoz, és futtathatja az összes legújabb tweetjét. A kiberbiztonsági kutatók szerint a JhoneRAT alkotói a RAT által elfogott és ennek megfelelően végrehajtott parancsokat tweetzik. Azóta a Twitter integetett a kérdéses fiókkal. Sajnos a JhoneRAT szerzői új Twitter-fiókot hozhatnak létre, és kampányát könnyedén folytathatják.

képességek

A JhoneRAT harmadik féltől származó alkalmazásokra támaszkodik a parancsok végrehajtására. Ez a fenyegetés képernyőképeket készíthet az áldozat asztaláról és az aktív ablakokról. Az adatokat ezután továbbítják az ImgBB nevű képtároló szolgáltatáshoz. A támadók megparancsolhatják a JhoneRAT-t, hogy töltsön le és hajtson végre további hasznos terheket a Google Drive-ból. A JhoneRAT szerzői szintén használhatják egy rendszerparancs végrehajtására. A válaszként rögzített kimenetet egy privát Google Forms dokumentumba helyezik, amely így csak a támadók számára elérhető.

Annak ellenére, hogy a JhoneRAT rendelkezik a viszonylag rövid képességek listájával, az a tény, hogy ez a fenyegetés legitim szolgáltatások segítségével eltakarhatja a kész forgalmát, inkább fenyegetővé teszi, mivel a vírusvédelmi eszközök nem képesek észrevenni. Valószínű, hogy a JhoneRAT szerzői nagyon tapasztalt és magasan képzettek.

Felkapott

Legnézettebb

Betöltés...