JhoneRAT
JhoneRAT to imponujący trojan RAT (Remote Access Trojan), którego aktywność ostatnio wzrosła. Po przestudiowaniu tego zagrożenia analitycy złośliwego oprogramowania doszli do wniosku, że prawdopodobnie został on zbudowany od podstaw. Nie jest to niczym niezwykłym, ale wielu autorów RAT woli pożyczyć kod istniejących zagrożeń zamiast budować narzędzie od zera. Według ekspertów JhoneRAT jest napisany w języku programowania Python.
Spis treści
Metoda rozmnażania
JhoneRAT jest dystrybuowany za pomocą kampanii spamowych. Jest to bardzo popularna metoda rozprzestrzeniania się złośliwego oprogramowania. Zazwyczaj wiadomości e-mail zawierające spam zawierają uszkodzony plik załącznika. Dotyczy to również JhoneRAT. Załączniki używane w propagowaniu JhoneRAT mają dwa typy - jeden twierdzi, że jest ważnym dokumentem, który należy pilnie otworzyć, a drugi stwierdza, że jest to archiwum zawierające dane logowania na Facebooku, które wyciekły. Jeśli użytkownicy wpadną na tę sztuczkę, otworzą załączony plik, uruchomią wykonanie następnego kroku ataku JhoneRAT.
Unika wykrywania przez narzędzia antywirusowe
Autorzy JhoneRAT wykorzystują bardzo sprytną sztuczkę, aby zamaskować niebezpieczną aktywność tego zagrożenia. Po naruszeniu systemu docelowego JhoneRAT pobierze również inny dokument Microsoft Office, który jest przechowywany na Dysku Google. Po pobraniu dokument zostanie uruchomiony w systemie. Atakujący upewnili się, że priorytetem jest używanie aplikacji innych firm (takich jak Dysk Google). Pomaga to autorom tego RAT w ukryciu aktywności zagrożenia i oszukiwaniu narzędzi bezpieczeństwa w celu uznania go za uzasadniony.
Techniki samozachowawcze
Dodatkowy dokument, który JhoneRAT pobiera z Dysku Google, zawiera moduł zdolny do skanowania infiltrowanego systemu pod kątem obecności numeru seryjnego dysku twardego, ponieważ komputery używane do debugowania złośliwego oprogramowania często tego nie mają. Oznacza to, że JhoneRAT jest w stanie wykryć, czy jest uruchamiany w środowisku piaskownicy, czy na zwykłym komputerze. Jeśli skanowanie wykaże, że system nie jest używany do debugowania złośliwego oprogramowania, JhoneRAT rozpocznie atak i pobierze obraz z Dysku Google.
Kieruje do użytkowników z Bliskiego Wschodu i Afryki Północnej
Obraz, który pobierze JhoneRAT, zawiera zamaskowany ciąg zakodowany za pomocą base64. Następnie JhoneRAT dekoduje dany ciąg i wypakowuje go jako skrypt AutoIT. Ten skrypt służy jako narzędzie do pobierania, którego celem jest pobranie ostatniej zawartości hostowanej na Dysku Google. Następnie JhoneRAT przystąpiłby do ataku, sprawdzając klawiaturę, z której korzysta ofiara. JhoneRAT będzie kontynuował kampanię tylko wtedy, gdy wykryje, że ofiara używa klawiatury typowej dla Iraku, Arabii Saudyjskiej, Libii, Kuwejtu, Libanu, ZEA, Maroka, Tunezji, Omanu, Egiptu, Bahrajnu, Jemenu lub Algierii.
Co ciekawe, JhoneRAT odbiera polecenia za pośrednictwem profilu na Twitterze. Zagrożenie to połączyłoby się z danym kontem na Twitterze i przeglądało wszystkie jego najnowsze tweety. Według badaczy cyberbezpieczeństwa twórcy JhoneRAT tweetują polecenia przechwycone przez RAT i odpowiednio wykonane. Od tego czasu Twitter machnął na dane konto. Niestety autorzy JhoneRAT mogą utworzyć nowe konto na Twitterze i łatwo kontynuować kampanię.
Możliwości
JhoneRAT polega na aplikacjach innych firm do wykonywania swoich poleceń. Zagrożenie to może wykonywać zrzuty ekranu pulpitu ofiary i aktywnych okien. Dane są następnie przesyłane do usługi hostingu obrazów o nazwie ImgBB. Atakujący mogą również nakazać JhoneRAT pobranie i wykonanie dodatkowych ładunków z Dysku Google. Autorzy JhoneRAT mogą również użyć go do wykonania polecenia systemowego. Dane wyjściowe zarejestrowane jako odpowiedź są umieszczane w dokumencie Formularzy Google, który jest prywatny, a zatem dostępny tylko dla atakujących.
Pomimo stosunkowo krótkiej listy możliwości, które posiada JhoneRAT, fakt, że to zagrożenie może maskować utworzony ruch przy użyciu legalnych usług, czyni go raczej groźnym, ponieważ narzędzia antywirusowe mogą go nie wykryć. Prawdopodobnie autorzy JhoneRAT są bardzo doświadczeni i wysoko wykwalifikowani.
