JelusRAT
JelusRAT è un trojan di accesso remoto (RAT) che garantisce ai criminali informatici il controllo occulto sui computer compromessi. Sviluppato in C++, si basa su un loader specializzato per decifrare e rilasciare il suo payload principale. Invece di installarsi come file tradizionale, il malware viene eseguito direttamente in memoria, riducendo significativamente il suo impatto sul disco e rendendo più difficile il rilevamento. Se JelusRAT viene identificato su un sistema, la rimozione immediata è fondamentale per prevenire ulteriori compromissioni.
Sommario
Il caricatore mascherato e l'esecuzione senza file
La catena di infezione inizia con un loader che si maschera da applicazione legittima. Questo componente nasconde due segmenti crittografati: uno contenente il malware principale e l'altro contenente i dati di configurazione. Una volta attivato, il loader decrittografa il payload principale e lo esegue direttamente nella memoria di sistema, dopodiché si autoelimina per eliminare le prove. Questa tecnica "fileless" è specificamente progettata per aggirare le tradizionali difese di sicurezza e l'analisi forense.
Gestione della configurazione e tattiche stealth
Dopo l'esecuzione, il payload principale accede a un file di configurazione denominato Info.ini per recuperare le istruzioni operative. Subito dopo aver letto il file, lo elimina per ridurre al minimo le tracce dell'intrusione. I dati all'interno di questo file vengono offuscati e un piccolo valore incorporato, situato nel primo byte, viene utilizzato dal malware per decodificare le istruzioni prima che vengano eseguite.
Capacità di controllo remoto e gestione dei comandi
JelusRAT è progettato per accettare una serie di comandi dal server di un aggressore. Può autodefinirsi un processo di sistema critico, il che significa che qualsiasi tentativo di terminarlo forzatamente può attivare una schermata blu di Windows, scoraggiando di fatto la rimozione manuale. Il malware è anche in grado di disabilitare questa funzione, alterare il modo in cui comunica con la sua infrastruttura di comando e controllo o arrestarsi automaticamente quando richiesto.
Una piattaforma modulare alimentata da plugin
Invece di contenere internamente tutte le funzioni dannose, JelusRAT opera principalmente come framework. Può scaricare componenti aggiuntivi sotto forma di plugin DLL dal server dell'aggressore, espandendo le sue funzionalità su richiesta. La maggior parte delle sue capacità viene fornita tramite questi moduli, consentendo agli autori delle minacce di adattare il malware a diversi obiettivi senza dover ridistribuire l'intero payload.
JelusRAT può essere sfruttato per introdurre altri tipi di malware, tra cui:
- Ransomware, miner di criptovalute e strumenti per il furto di informazioni
- Ulteriori programmi dannosi che approfondiscono o ampliano la compromissione del sistema
Perché JelusRAT rappresenta un rischio serio
JelusRAT si distingue per essere una minaccia furtiva e altamente flessibile. La sua esecuzione in-memory, il comportamento di auto-eliminazione e il design basato su plugin gli consentono di eludere il rilevamento mantenendo al contempo un controllo persistente e adattabile sui sistemi infetti. Queste caratteristiche lo rendono particolarmente pericoloso, in quanto può facilmente fungere da piattaforma di lancio per malware più distruttivi e operazioni criminali informatiche su larga scala.
Vettori di infezione comuni e metodi di distribuzione
Malware come JelusRAT si diffondono più spesso attraverso tecniche di ingegneria sociale e pratiche online ingannevoli. Gli aggressori in genere inducono le vittime a eseguire file dannosi mascherati da contenuti legittimi, inclusi file eseguibili, script e formati di documenti come Word, Excel, PDF o immagini ISO. Le campagne di infezione si basano spesso su e-mail di phishing, pubblicità false, truffe di supporto tecnico, software piratato e siti web compromessi per diffondere questi payload.
Altri canali di distribuzione consolidati includono unità USB infette, reti peer-to-peer, utility di download di terze parti e lo sfruttamento di vulnerabilità software non corrette. Nella maggior parte dei casi, le infezioni hanno successo perché gli utenti vengono indotti con l'inganno a eseguire un'azione che, inconsapevolmente, garantisce al malware un punto d'appoggio.
