„JhoneRAT“
„JhoneRAT“ yra įspūdingas RAT (Remote Access Trojan), kurio veikla neseniai kilo. Ištyrę šią grėsmę, kenkėjiškų programų analitikai padarė išvadą, kad ji greičiausiai buvo sukurta nuo pat pradžių. Tai nėra neįprasta, tačiau daugelis RAT autorių mieliau skolinasi esamų grėsmių kodą, o ne kuria įrankį nuo nulio. Pasak ekspertų, „JhoneRAT“ parašyta Python programavimo kalba.
Turinys
Dauginimo metodas
„JhoneRAT“ platinamas naudojantis šlamšto el. Pašto kampanijomis. Tai yra labai populiarus sklaidos būdas, kai reikia skleisti kenkėjiškas programas. Paprastai šlamšto el. Laiškuose būtų sugadintas pridėtas failas. Taip yra ir su JhoneRAT. Priedai, naudojami skleidžiant „JhoneRAThave“, yra dviejų tipų - vienas tvirtina, kad yra svarbus dokumentas, kurį reikia skubiai atidaryti, o kitas teigia, kad tai yra archyvas, kuriame yra „Facebook“ prisijungimo kredencialai. Jei vartotojams nepavyks atlikti šio triuko, atidarykite pridėtą failą, jie suaktyvins kitą JhoneRAT atakos žingsnį.
Vengiama aptikti naudojant kenkėjiškų programų įrankius
„JhoneRAT“ autoriai naudoja labai protingą triuką, kad užmaskuotų nesaugią šios grėsmės veiklą. Padaręs pavojų tikslinei sistemai, „JhoneRAT“ taip pat atsisiųs kitą „Microsoft Office“ dokumentą, kuris yra „Google“ diske. Atsisiuntęs dokumentą, jis bus paleistas sistemoje. Užpuolikai įsitikino, kad pirmenybė teikiama trečiųjų šalių programų (pvz., „Google“ disko) naudojimui. Tai padeda šio RAT autoriams paslėpti grėsmės veiklą ir apgauti saugumo priemones, kad ji būtų įtraukta į teisėtą.
Savisaugos metodai
Papildomame dokumente, kurį „JhoneRAT“ nuskaito iš „Google“ disko, yra modulis, galintis nuskaityti įsiskverbusią sistemą, ar nėra standžiojo disko serijos numerio, nes kompiuterių, kurie naudojami kenkėjiškų programų derinimui, dažnai trūksta. Tai reiškia, kad „JhoneRAT“ gali nustatyti, ar jis vykdomas smėlio dėžės aplinkoje, ar įprastame kompiuteryje. Jei nuskaitymo metu nustatoma, kad sistema nenaudojama kenkėjiškų programų derinimui, „JhoneRAT“ imsis išpuolio ir atkuria vaizdą iš „Google“ disko.
Tiksliniai vartotojai iš Vidurinių Rytų ir Šiaurės Afrikos
Vaizde, kurį „JhoneRAT“ atsiųstų, yra užmaskuota eilutė, užkoduota „base64“. Tada „JhoneRAT“ iššifruos nagrinėjamą eilutę ir ištrauks ją kaip „AutoIT“ scenarijų. Šis scenarijus tarnauja kaip siųstuvas, kurio tikslas yra sugriebti paskutinį naudingą krovinį, priglobtą „Google“ diske. Tada „JhoneRAT“ tęsia ataką tikrindamas aukos naudojamą klaviatūrą. „JhoneRAT“ kampaniją tęs tik tada, kai nustatys, kad auka naudoja klaviatūrą, būdingą Irakui, Saudo Arabijai, Libijai, Kuveitui, Libanui, JAE, Marokui, Tunisui, Omanui, Egiptui, Bahreinui, Jemenui ar Alžyrui.
Įdomu tai, kad „JhoneRAT“ komandos gauna komandas per „Twitter“ profilį. Ši grėsmė prisijungtų prie aptariamos „Twitter“ paskyros ir būtų paleista per visus naujausius „Twitter“ įrašus. Kibernetinio saugumo tyrinėtojų teigimu, „JhoneRAT“ kūrėjai persiunčia komandas, kurias įsiterpia RAT ir kurios atitinkamai vykdomos. Nuo tada „Twitter“ bangavo aptariamą sąskaitą. Deja, „JhoneRAT“ autoriai gali susikurti naują „Twitter“ paskyrą ir lengvai tęsti savo kampaniją.
Pajėgumai
„JhoneRAT“, vykdydamas komandas, remiasi trečiųjų šalių programomis. Ši grėsmė gali paimti aukos darbalaukio ir aktyvių langų ekrano kopijas. Tada duomenys perkeliami į vaizdų talpinimo paslaugą, vadinamą „ImgBB“. Užpuolikai taip pat gali nurodyti „JhoneRAT“ atsisiųsti ir vykdyti papildomus naudingus krovinius iš „Google“ disko. JhoneRAT autoriai taip pat gali naudoti ją vykdydami sistemos komandą. Išvada, įrašyta kaip atsakymas, yra patalpinta į „Google Forms“ dokumentą, kuris yra privatus ir prieinamas tik užpuolikams.
Nepaisant palyginti trumpo „JhoneRAT“ turimų galimybių sąrašo, faktas, kad ši grėsmė gali užmaskuoti jo sudarytą srautą, naudojant teisėtas paslaugas, daro ją gana grėsmingą, nes antivirusiniai įrankiai gali nesugebėti jos pastebėti. Tikėtina, kad „JhoneRAT“ autoriai yra labai patyrę ir aukštos kvalifikacijos.
