JhoneRAT
JhoneRAT er en imponerende RAT (Remote Access Trojan) hvis aktivitet har spisset den siste tiden. Etter å ha studert denne trusselen, konkluderte analytikere med skadelig programvare at den sannsynligvis har blitt bygget fra grunnen av. Dette er ikke uvanlig, men mange forfattere av RATs foretrekker å låne koden til eksisterende trusler i stedet for å bygge et verktøy fra bunnen av. I følge ekspertene er JhoneRAT skrevet på programmeringsspråket Python.
Innholdsfortegnelse
Formeringsmetode
JhoneRAT blir distribuert ved hjelp av spam e-postkampanjer. Dette er en veldig populær forplantningsmetode når det gjelder spredning av skadelig programvare. Vanligvis vil spam-e-postene inneholde en ødelagt vedlagt fil. Dette er tilfelle med JhoneRAT også. Vedleggene som ble brukt i utbredelsen av JhoneRAT har to typer - den ene hevder å være et viktig dokument som må åpnes med en gang, mens den andre oppgir at det er et arkiv som inneholder Facebook-påloggingsinformasjon som er lekket. Hvis brukerne faller for dette trikset og åpner den vedlagte filen, vil de utløse utførelsen av neste trinn i JhoneRATs angrep.
Unngår å oppdage med anti-malware-verktøy
Forfatterne av JhoneRAT bruker et veldig smart triks for å maskere den usikre aktiviteten til denne trusselen. Når det kompromitterte det målrettede systemet, vil JhoneRAT også laste ned et annet Microsoft Office-dokument som er vert på Google Drive. Når det er lastet ned, vil dokumentet bli lansert på systemet. Angriperne har sørget for at bruk av tredjepartsapplikasjoner (som Google Drive) blir prioritert. Dette hjelper forfatterne av denne RAT til å skjule aktiviteten til trusselen og lure sikkerhetsverktøy til å oppgi den som legitim.
Selvbevarende teknikker
Det ekstra dokumentet som JhoneRAT henter fra Google Drive inneholder en modul som er i stand til å skanne det infiltrerte systemet for tilstedeværelse av en serienummer på en harddisk, da datamaskiner som brukes til feilsøking av malware ofte ikke mangler slikt. Dette betyr at JhoneRAT er i stand til å oppdage om den kjøres i et sandkassemiljø eller en vanlig datamaskin. Hvis skanningen bestemmer at systemet ikke brukes til feilsøking av skadelig programvare, fortsetter JhoneRAT med angrepet og henter et bilde fra Google Drive.
Målretter brukere fra Midt-Østen og Nord-Afrika
Bildet som JhoneRAT vil laste ned inneholder en maskert streng som er kodet med base64. Deretter vil JhoneRAT dekode den aktuelle strengen og trekke den ut som et AutoIT-skript. Dette skriptet fungerer som en nedlaster som har som mål å ta tak i den siste nyttelasten som er vert på Google Drive. Deretter ville JhoneRAT fortsette med angrepet ved å sjekke tastaturet offeret bruker. JhoneRAT vil bare fortsette kampanjen hvis den oppdager at offeret bruker et tastatur som er typisk for Irak, Saudi-Arabia, Libya, Kuwait, Libanon, UAE, Marokko, Tunisia, Oman, Egypt, Bahrain, Yemen eller Algerie.
Interessant nok mottar JhoneRAT kommandoer via en Twitter-profil. Denne trusselen vil koble seg til den aktuelle Twitter-kontoen og gå gjennom alle de nyeste tweets. I følge cybersecurity-forskere twitrer skaperne av JhoneRAT ut kommandoer som blir fanget av RAT og utført i samsvar med dette. Twitter har siden viftet med den aktuelle kontoen. Dessverre kan forfatterne av JhoneRAT opprette en ny Twitter-konto og fortsette kampanjen lett.
Capabilities
JhoneRAT er avhengig av tredjepartsapplikasjoner for å utføre kommandoene. Denne trusselen kan ta skjermbilder av offerets skrivebord og aktive vinduer. Dataene blir deretter overført til en bildetjenestetjeneste kalt ImgBB. Angriperne kan også be JhoneRAT om å laste ned og utføre ytterligere nyttelast fra Google Drive. Forfatterne av JhoneRAT kan også bruke den til å utføre en systemkommando. Utdataene som er registrert som et svar, plasseres i et Google Forms-dokument som er privat og dermed kun tilgjengelig for angriperne.
Til tross for den relativt korte listen over muligheter som JhoneRAT har, er det faktum at denne trusselen kan maskere den sammensatte trafikken ved å bruke legitime tjenester, den ganske truende fordi antivirusverktøyer kanskje ikke kan oppdage den. Det er sannsynlig at forfatterne av JhoneRAT er veldig erfarne og svært dyktige.
