JhoneRAT
JhoneRAT është një RAT mbresëlënës (Remote Access Trojan) veprimtaria e të cilit ka spikatur kohët e fundit. Pas studimit të këtij kërcënimi, analistët e malware arritën në përfundimin se ka të ngjarë të jetë ndërtuar nga toka lart. Kjo nuk është e pazakontë, por shumë autorë të RAT preferojnë të huazojnë kodin e kërcënimeve ekzistuese në vend që të ndërtojnë një mjet nga e para. Sipas ekspertëve, JhoneRAT është shkruar në gjuhën e programimit Python.
Tabela e Përmbajtjes
Metoda e përhapjes
JhoneRAT po shpërndahet me ndihmën e fushatave të postave elektronike. Kjo është një metodë shumë e popullarizuar përhapjen kur bëhet fjalë për përhapjen e malware. Zakonisht, emailet e spamit do të përmbajnë një skedar bashkangjitur të korruptuar. Ky është rasti edhe me JhoneRAT. Shtojcat e përdorura në përhapjen e JhoneRAT kanë dy lloje - njëri pretendon se është një dokument i rëndësishëm që duhet të hapet urgjentisht, ndërsa tjetri thotë se është një arkiv që përmban letrat kredenciale të hyrjes në Facebook që janë lëshuar. Nëse përdoruesit bien për këtë mashtrim të hapur skedarin bashkangjitur, ata do të shkaktojnë ekzekutimin e hapit tjetër të sulmit të JhoneRAT.
Shmang Detektimin nga Mjetet Anti-Malware
Autorët e JhoneRAT përdorin një mashtrim shumë të zgjuar për të maskuar veprimtarinë e pasigurt të këtij kërcënimi. Me kompromentimin e sistemit të synuar, JhoneRAT gjithashtu do të shkarkojë një tjetër dokument të Microsoft Office që është pritur në Google Drive. Pasi të shkarkohet, dokumenti do të nisë në sistem. Sulmuesit janë siguruar që përdorimi i aplikacioneve të palëve të treta (si Google Drive) ka përparësi. Kjo ndihmon autorët e këtij RAT të maskojnë veprimtarinë e kërcënimit dhe të mashtrojnë mjetet e sigurisë për ta renditur atë si të ligjshëm.
Teknikat e vetë-ruajtjes
Dokumenti shtesë që JhoneRAT merr nga Google Drive mbart një modul që është i aftë të skanojë sistemin e infiltruar për praninë e një numri serial të hard drive pasi kompjuterët që përdoren për debugging të malware shpesh nuk kanë të tillë. Kjo do të thotë që JhoneRAT është në gjendje të zbulojë nëse po ekzekutohet në një mjedis me rërë ose një kompjuter të rregullt. Nëse skanimi përcakton se sistemi nuk është përdorur për korrigjim të malware, JhoneRAT do të vazhdojë me sulmin dhe do të marrë një imazh nga Google Drive.
Synon përdoruesit nga Lindja e Mesme dhe Afrika e Veriut
Imazhi që do të shkarkonte JhoneRAT përmban një varg të maskuar që është i koduar me bazën64. Tjetra, JhoneRAT do të deshifronte vargun në fjalë dhe ta ekstraktonte atë si një skenar AutoIT. Ky skenar shërben si një shkarkues, qëllimi i të cilit është të kapni ngarkesën e fundit të organizuar në Google Drive. Tjetra, JhoneRAT do të vazhdojë me sulmin duke kontrolluar tastierën që viktima po përdor. JhoneRAT do të vazhdojë fushatën vetëm nëse zbulon se viktima po përdor një tastierë që është tipike për Irakun, Arabinë Saudite, Libinë, Kuvajtin, Libanin, Emiratet e Bashkuara Arabe, Marokun, Tunizinë, Oman, Egjipt, Bahrein, Jemen apo Algjeri.
Enoughshtë mjaft interesante, JhoneRAT merr komanda përmes një profili në Twitter. Ky kërcënim do të lidhej me llogarinë Twitter në fjalë dhe do të përshkonte të gjitha Tweetet e tij më të fundit. Sipas studiuesve të sigurisë në internet, krijuesit e JhoneRAT cicërojnë komandat që përgjohen nga RAT dhe ekzekutohen në përputhje me rrethanat. Që nga ajo kohë Twitter ka tundur llogarinë në fjalë. Fatkeqësisht, autorët e JhoneRAT mund të krijojnë një llogari të re në Twitter dhe të vazhdojnë me lehtësi fushatën e tyre.
aftësitë
JhoneRAT mbështetet në aplikacionet e palëve të treta për të ekzekutuar urdhrat e tij. Ky kërcënim mund të marrë pamje nga desktopi i viktimës dhe dritaret aktive. Të dhënat më pas transferohen në një shërbim të pritjes së imazheve të quajtur ImgBB. Sulmuesit gjithashtu mund të komandojnë JhoneRAT që të shkarkojë dhe ekzekutojë ngarkesa shtesë nga Google Drive. Autorët e JhoneRAT gjithashtu mund ta përdorin atë për të ekzekutuar një komandë të sistemit. Prodhimi i regjistruar si përgjigje vendoset në një dokument të Google Forms që është privat dhe në këtë mënyrë i arritshëm vetëm për sulmuesit.
Pavarësisht nga lista relativisht e shkurtër e aftësive që posedon JhoneRAT, fakti që ky kërcënim mund të maskojë trafikun e saj të krijuar duke përdorur shërbime të ligjshme e bën atë mjaft kërcënues sepse mjetet antivirus mund të mos jenë në gjendje ta zbulojnë atë. Ka të ngjarë që autorët e JhoneRAT janë shumë me përvojë dhe shumë të aftë.
