jRAT
O jRAT é um Trojan RAT ou de acesso remoto. O JRAT é escrito em Java, tornando os dispositivos que possuem essa plataforma vulneráveis a ameaças como o jRAT, especialmente. Enquanto o Java é uma plataforma que atravessa sistemas operacionais diferentes, o que dá a ameaças como o jRAT o potencial de realizar ataques em diferentes sistemas operacionais, o alvo pretendido do jRAT são dispositivos de computador que executam o sistema operacional Windows.
Índice
Por Que o jRAT é Ameaçador
O jRAT existe há algum tempo. O jRAT foi observado pela primeira vez em 2017 e viu várias variantes desde que foi introduzido pela primeira vez. Pesquisadores de segurança observaram vários avanços nos recursos e no código do jRAT que o diferenciaram de iterações anteriores de RATs programadas usando Java. Alguns recursos do jRAT que não são vistos em versões anteriores dessas ameaças incluem técnicas para contornar ambientes virtuais e de sandbox usados para depuração e estudo de malware. O JRAT também inclui novos recursos que permitem que os criminosos realizem uma série de ataques contra suas vítimas.
Como o jRAT Realiza um Ataque
Ameaças como o jRAT podem ser distribuídas de várias maneiras. Geralmente, essas ameaças dependem de outros malwares, tais como um utilitário de Trojan ou um downloader, ou a vítima abrindo um arquivo corrompido ou clicando diretamente em um link inseguro. No caso do jRAT, parece que os criminosos responsáveis pelo ataque estão distribuindo o jRAT na forma de anexos de e-mail de spam principalmente, geralmente na forma de arquivos JAR corrompidos que são usados para entregar jRAT. Quando a vítima tentar abrir o arquivo corrompido, o jRAT será instalado. O JRAT primeiro varrerá o dispositivo de destino para determinar se ele foi instalado em um ambiente virtual e se excluirá, se for esse o caso. O JRAT tentará determinar a configuração do firewall da vítima e tentará detectar qualquer software antivírus no dispositivo de destino. Assim que o jRAT fizer isso, o jRAT tentará obter persistência (permitindo que ele seja executado mesmo se o computador da vítima for reinicializado). Para fazer isso, o jRAT soltará um arquivo JAR no diretório TEMP, que será executado toda vez que o Windows for inicializado. Uma vez que o jRAT tenha se instalado, ele começará a coletar dados sobre o dispositivo infectado e, em seguida, enviará para seus controladores.
Como o jRAT Pode ser Usado pelos Criminosos
Como o próprio nome indica, os Trojans de Acesso Remoto são usados por criminosos para acessar um computador remotamente e automaticamente. Usando o jRAT, um criminoso pode usar um computador de longe como se estivesse sentado na frente dele. Isso permite que os criminosos coletem dados, usem o dispositivo infectado para realizar outro ataque ou para limpar os arquivos da vítima. O jRAT possui um recurso de keylogger (captura de teclas no computador da vítima), captura telas, permite que os invasores manipulem ou excluam dados no dispositivo infectado, carreguem novos arquivos no dispositivo infectado ou usem os periféricos do dispositivo infectado, por exemplo, usando o o microfone do computador infectado e a webcam para monitorar seus arredores. Estas são todas características típicas da maioria dos RATs e tornam o jRAT particularmente ameaçador, se não especialmente sofisticado.
Protegendo o Seu Dispositivo contra o jRAT
O fato de o jRAT existir há algum tempo significa que os pesquisadores de segurança do PC conseguiram criar proteções efetivas contra o jRAT e suas variantes. Isso é o que faz com que os pesquisadores de segurança de PCs aconselhem os usuários de computador a usar um forte programa anti-malware e garantir que todos os seus softwares estejam totalmente atualizados também. Como o principal método de distribuição do jRAT parece ser anexos de e-mail de spam, aprender a lidar com e-mails de spam também é crucial para evitar esses ataques.
