JhoneRAT
O JhoneRAT é um RAT (Trojan de Acesso Remoto) impressionante, cuja atividade disparou recentemente. Depois de estudar essa ameaça, os analistas de malware concluíram que ela provavelmente foi criada desde o início. Isso não é incomum, mas muitos autores de RATs preferem emprestar o código de ameaças existentes em vez de criar uma ferramenta do zero. Segundo os especialistas, o JhoneRAT é escrito na linguagem de programação Python.
Índice
Método de Propagação
O JhoneRAT está sendo distribuído com a ajuda de campanhas de email de spam. Este é um método de propagação muito popular quando se trata de espalhar malware. Normalmente, os emails de spam contêm um arquivo anexado corrompido. Este também é o caso do JhoneRAT. Os anexos usados na propagação do JhoneRAT têm dois tipos - um afirma ser um documento importante que precisa ser aberto com urgência, enquanto o outro afirma que é um arquivo contendo as credenciais de login do Facebook que vazaram. Se os usuários caírem nesse truque e abrirem o arquivo anexado, eles acionarão a execução da próxima etapa do ataque do JhoneRAT.
Evita a Detecção por Ferramentas Anti-Malware
Os autores do JhoneRAT usam um truque muito inteligente para mascarar a atividade insegura dessa ameaça. Ao comprometer o sistema de destino, o JhoneRAT também baixaria outro documento do Microsoft Office hospedado no Google Drive. Uma vez baixado, o documento será iniciado no sistema. Os invasores garantiram que o uso de aplicativos de terceiros (como o Google Drive) seja priorizado. Isso ajuda os autores deste RAT a disfarçar a atividade das ameaças e enganar as ferramentas de segurança para listá-las como legítimas.
Técnicas de Auto-Preservação
O documento adicional que o JhoneRAT busca no Google Drive carrega um módulo capaz de verificar o sistema infiltrado quanto à presença de um número de série do disco rígido, já que os computadores utilizados para depuração de malware geralmente não possuem. Isso significa que o JhoneRAT é capaz de detectar se está sendo executado em um ambiente sandbox ou em um computador comum. Se a verificação determinar que o sistema não é usado para depuração de malware, o JhoneRAT continuará com o ataque e buscará uma imagem no Google Drive.
Tem como Alvo Usuários do Oriente Médio e do Norte da África
A imagem que o JhoneRAT baixaria contém uma sequência mascarada codificada com base64. Em seguida, o JhoneRAT decodificaria a sequência em questão e a extrairia como um script AutoIT. Esse script serve como um downloader cujo objetivo é obter a última carga útil hospedada no Google Drive. Em seguida, o JhoneRAT continuaria com o ataque verificando o teclado que a vítima está usando. O JhoneRAT só continuará a campanha se detectar que a vítima está usando um teclado típico do Iraque, Arábia Saudita, Líbia, Kuwait, Líbano, Emirados Árabes Unidos, Marrocos, Tunísia, Omã, Egito, Bahrain, Iêmen ou Argélia.
Curiosamente, o JhoneRAT recebe comandos através de um perfil do Twitter. Essa ameaça se conectaria à conta do Twitter em questão e passaria por todos os seus tweets mais recentes. Segundo os pesquisadores de segurança cibernética, os criadores do JhoneRAT twittam comandos que são interceptados pelo RAT e executados de acordo. Desde então, o Twitter acenou com a conta em questão. Infelizmente, os autores do JhoneRAT podem criar uma nova conta no Twitter e continuar sua campanha com facilidade.
Recursos
O JhoneRAT conta com aplicativos de terceiros para executar seus comandos. Essa ameaça pode fazer capturas de tela da área de trabalho e das janelas ativas da vítima. Os dados são então transferidos para um serviço de hospedagem de imagens chamado ImgBB. Os invasores também podem comandar o JhoneRAT para baixar e executar cargas úteis adicionais do Google Drive. Os autores do JhoneRAT também podem usá-lo para executar um comando do sistema. A saída registrada como resposta é colocada em um documento do Google Forms que é privado e, portanto, acessível apenas aos atacantes.
Apesar da lista relativamente curta de recursos que o JhoneRAT possui, o fato de que essa ameaça pode mascarar seu tráfego inventado usando serviços legítimos a torna bastante ameaçadora porque as ferramentas antivírus podem não ser capazes de identificá-lo. É provável que os autores do JhoneRAT sejam muito experientes e altamente qualificados.
