JhoneRAT
JhoneRAT è un RAT impressionante (Remote Access Trojan) la cui attività è aumentata di recente. Dopo aver studiato questa minaccia, gli analisti del malware hanno concluso che probabilmente è stata costruita da zero. Questo non è insolito, ma molti autori di RAT preferiscono prendere in prestito il codice delle minacce esistenti invece di creare uno strumento da zero. Secondo gli esperti, JhoneRAT è scritto nel linguaggio di programmazione Python.
Sommario
Metodo di propagazione
JhoneRAT viene distribuito con l'aiuto di campagne e-mail di spam. Questo è un metodo di propagazione molto popolare quando si tratta di diffondere malware. Di solito, le e-mail di spam conterrebbero un file allegato danneggiato. Questo è anche il caso di JhoneRAT. Gli allegati utilizzati nella propagazione di JhoneRAT hanno due tipi: uno afferma di essere un documento importante che deve essere aperto con urgenza, mentre l'altro afferma che è trapelato un archivio contenente credenziali di accesso a Facebook. Se gli utenti cadono per questo trucco e aprono il file allegato, innescheranno l'esecuzione del passaggio successivo dell'attacco di JhoneRAT.
Evita il rilevamento da parte di strumenti antimalware
Gli autori di JhoneRAT usano un trucco molto intelligente per mascherare l'attività non sicura di questa minaccia. Dopo aver compromesso il sistema di destinazione, JhoneRAT scarica anche un altro documento di Microsoft Office ospitato su Google Drive. Una volta scaricato, il documento verrà lanciato sul sistema. Gli aggressori si sono assicurati che l'utilizzo delle applicazioni di terze parti (come Google Drive) abbia la priorità. Ciò aiuta gli autori di questo RAT a mascherare l'attività della minaccia e ingannare gli strumenti di sicurezza per elencarlo come legittimo.
Tecniche di autoconservazione
Il documento aggiuntivo che JhoneRAT recupera da Google Drive contiene un modulo che è in grado di scansionare il sistema infiltrato per la presenza di un numero seriale del disco rigido poiché i computer utilizzati per il debug del malware spesso mancano di tale. Ciò significa che JhoneRAT è in grado di rilevare se viene eseguito in un ambiente sandbox o un normale computer. Se la scansione determina che il sistema non è utilizzato per il debug del malware, JhoneRAT procederà con l'attacco e recupererà un'immagine da Google Drive.
Targeting per utenti provenienti da Medio Oriente e Nord Africa
L'immagine che JhoneRAT dovrebbe scaricare contiene una stringa mascherata codificata con base64. Successivamente, JhoneRAT decodifica la stringa in questione ed estrae come uno script AutoIT. Questo script funge da downloader il cui obiettivo è catturare l'ultimo payload ospitato su Google Drive. Successivamente, JhoneRAT procederà all'attacco controllando la tastiera utilizzata dalla vittima. JhoneRAT continuerà la campagna solo se rileva che la vittima sta usando una tastiera tipica di Iraq, Arabia Saudita, Libia, Kuwait, Libano, Emirati Arabi Uniti, Marocco, Tunisia, Oman, Egitto, Bahrain, Yemen o Algeria.
È interessante notare che JhoneRAT riceve comandi tramite un profilo Twitter. Questa minaccia si collegherebbe all'account Twitter in questione e attraverserebbe tutti i suoi tweet più recenti. Secondo i ricercatori sulla sicurezza informatica, i creatori di JhoneRAT twittano i comandi che vengono intercettati dal RAT ed eseguiti di conseguenza. Da allora Twitter ha sventolato l'account in questione. Sfortunatamente, gli autori di JhoneRAT possono creare un nuovo account Twitter e continuare facilmente la loro campagna.
funzionalità
JhoneRAT si affida ad applicazioni di terze parti per eseguire i suoi comandi. Questa minaccia può catturare schermate del desktop della vittima e delle finestre attive. I dati vengono quindi trasferiti a un servizio di hosting di immagini chiamato ImgBB. Gli aggressori possono anche comandare a JhoneRAT di scaricare ed eseguire payload aggiuntivi da Google Drive. Gli autori di JhoneRAT possono anche usarlo per eseguire un comando di sistema. L'output registrato come risposta viene inserito in un documento di Google Form che è privato e quindi accessibile solo agli aggressori.
Nonostante l'elenco relativamente breve di funzionalità di JhoneRAT, il fatto che questa minaccia possa mascherare il suo traffico inventato utilizzando servizi legittimi lo rende piuttosto minaccioso perché gli strumenti antivirus potrebbero non essere in grado di individuarlo. È probabile che gli autori di JhoneRAT siano molto esperti e altamente qualificati.
