JhoneRAT
JhoneRAT - впечатляющий RAT (троян удаленного доступа), чья активность в последнее время резко возросла. Изучив эту угрозу, аналитики вредоносных программ пришли к выводу, что она, вероятно, была создана с нуля. В этом нет ничего необычного, но многие авторы RAT предпочитают заимствовать код существующих угроз вместо создания инструмента с нуля. По словам экспертов, JhoneRAT написан на языке программирования Python.
Оглавление
Метод распространения
JhoneRAT распространяется с помощью спам-рассылок. Это очень популярный способ распространения вредоносного ПО. Обычно спам-сообщения содержат поврежденный вложенный файл. Это касается и JhoneRAT. Вложения, используемые при распространении JhoneRAT, имеют два типа: один заявляет, что он является важным документом, который необходимо срочно открыть, а другой заявляет, что это архив, содержащий утечку учетных данных для входа в Facebook. Если пользователи попадают в этот трюк и открывают вложенный файл, они запускают выполнение следующего шага атаки JhoneRAT.
Предотвращает обнаружение средствами защиты от вредоносных программ
Авторы JhoneRAT используют очень хитрый трюк, чтобы скрыть небезопасную активность этой угрозы. После взлома целевой системы JhoneRAT также загрузит другой документ Microsoft Office, размещенный на Google Диске. После загрузки документ будет запущен в системе. Злоумышленники убедились, что использование сторонних приложений (например, Google Drive) имеет приоритет. Это помогает авторам этой RAT замаскировать активность угрозы и обманом вывести средства безопасности на законную.
Методы самосохранения
Дополнительный документ, который JhoneRAT извлекает из Google Drive, содержит модуль, который способен сканировать зараженную систему на наличие серийного номера жесткого диска, поскольку компьютеры, используемые для отладки вредоносных программ, часто не имеют такого. Это означает, что JhoneRAT может определить, запущен ли он в среде «песочницы» или на обычном компьютере. Если при проверке будет установлено, что система не используется для отладки вредоносных программ, JhoneRAT продолжит атаку и получит изображение с Google Диска.
Целевые пользователи из стран Ближнего Востока и Северной Африки
Изображение, которое будет загружать JhoneRAT, содержит замаскированную строку, которая закодирована с base64. Затем JhoneRAT расшифровывает данную строку и извлекает ее как скрипт AutoIT. Этот скрипт служит загрузчиком, целью которого является получение последней полезной нагрузки, размещенной на Google Диске. Затем JhoneRAT продолжит атаку, проверив клавиатуру, которую использует жертва. JhoneRAT продолжит кампанию, только если обнаружит, что жертва использует клавиатуру, типичную для Ирака, Саудовской Аравии, Ливии, Кувейта, Ливана, ОАЭ, Марокко, Туниса, Омана, Египта, Бахрейна, Йемена или Алжира.
Интересно, что JhoneRAT получает команды через профиль Twitter. Эта угроза будет соединяться с рассматриваемой учетной записью Twitter и проходить через все ее последние твиты. По словам исследователей в области кибербезопасности, создатели JhoneRAT публикуют команды, которые перехватываются RAT и выполняются соответствующим образом. С тех пор Twitter отказался от этой учетной записи. К сожалению, авторы JhoneRAT могут создать новую учетную запись Twitter и легко продолжить свою кампанию.
возможности
JhoneRAT использует сторонние приложения для выполнения своих команд. Эта угроза может делать скриншоты рабочего стола жертвы и активных окон. Затем данные передаются в службу хостинга изображений под названием ImgBB. Злоумышленники также могут дать команду JhoneRAT загрузить и выполнить дополнительные полезные нагрузки с Google Диска. Авторы JhoneRAT также могут использовать его для выполнения системной команды. Вывод, записанный в качестве ответа, помещается в документ Google Forms, который является частным и поэтому доступен только для злоумышленников.
Несмотря на относительно короткий список возможностей, которыми обладает JhoneRAT, тот факт, что эта угроза может маскировать свой незаконный трафик с помощью законных сервисов, делает его довольно опасным, поскольку антивирусные инструменты могут не обнаружить его. Вполне вероятно, что авторы JhoneRAT очень опытные и высококвалифицированные.
