JhoneRAT
JhoneRAT är en imponerande RAT (Remote Access Trojan) vars aktivitet nyligen har spikats. Efter att ha studerat detta hot kom slutsatserna om skadlig programvara att det troligtvis har byggts upp från grunden. Detta är inte ovanligt, men många författare till RATs föredrar att låna koden för befintliga hot istället för att bygga ett verktyg från grunden. Enligt experterna är JhoneRAT skriven på programmeringsspråket Python.
Innehållsförteckning
Förökningsmetod
JhoneRAT distribueras med hjälp av e-postkampanjer med skräppost. Detta är en mycket populär spridningsmetod när det gäller spridning av skadlig programvara. Vanligtvis skulle skräppostmeddelandena innehålla en skadad bifogad fil. Detta är också fallet med JhoneRAT. Bilagorna som användes vid förökningen av JhoneRAT har två typer - en påstår sig vara ett viktigt dokument som måste öppnas snarast, medan den andra säger att det är ett arkiv som innehåller Facebook-inloggningsuppgifter som har läckt ut. Om användarna faller för detta trick och öppnar den bifogade filen, kommer de att utlösa genomförandet av nästa steg i JhoneRAT: s attack.
Undviker upptäckt av verktyg mot skadlig programvara
Författarna till JhoneRAT använder ett mycket smart trick för att maskera den osäkra aktiviteten i detta hot. Efter att kompromettera det riktade systemet, skulle JhoneRAT också ladda ner ett annat Microsoft Office-dokument som är värd på Google Drive. När dokumentet har laddats ner kommer det att startas på systemet. Angriparna har sett till att använda tredjepartsapplikationer (som Google Drive) prioriteras. Detta hjälper författarna till denna RAT att dölja aktiviteten för hotet och lura säkerhetsverktyg för att lista det som legitimt.
Självskyddstekniker
Det ytterligare dokumentet som JhoneRAT hämtar från Google Drive innehåller en modul som kan skanna det infiltrerade systemet för närvaron av en serienummer på en hårddisk eftersom datorer som används för felsökning av skadlig programvara ofta saknar sådant. Detta innebär att JhoneRAT kan upptäcka om den körs i en sandlådemiljö eller i en vanlig dator. Om skanningen fastställer att systemet inte används för felsökning av skadlig kod fortsätter JhoneRAT med attacken och hämtar en bild från Google Drive.
Inriktar sig på användare från Mellanöstern och Nordafrika
Bilden som JhoneRAT skulle ladda ner innehåller en maskerad sträng som är kodad med base64. Därefter avkodade JhoneRAT strängen i fråga och extraherar den som ett AutoIT-skript. Detta skript fungerar som en nedladdare vars mål är att ta tag i den senaste nyttolasten som finns på Google Drive. Därefter fortsatte JhoneRAT med attacken genom att kontrollera tangentbordet offeret använder. JhoneRAT kommer endast att fortsätta kampanjen om den upptäcker att offret använder ett tangentbord som är typiskt för Irak, Saudiarabien, Libyen, Kuwait, Libanon, Förenade Arabemiraten, Marocko, Tunisien, Oman, Egypten, Bahrain, Yemen eller Algeriet.
Intressant nog får JhoneRAT kommandon via en Twitter-profil. Detta hot skulle ansluta till det aktuella Twitter-kontot och gå igenom alla de senaste tweetsna. Enligt cybersecurity-forskare tweetar JhoneRAT: s skapare kommandon som avlyssnas av RAT och utförs i enlighet därmed. Twitter har sedan viftat med kontot i fråga. Tyvärr kan författarna till JhoneRAT skapa ett nytt Twitter-konto och fortsätta sin kampanj enkelt.
Förmågor
JhoneRAT förlitar sig på tredjepartsapplikationer för att utföra sina kommandon. Detta hot kan ta skärmdumpar av offerets skrivbord och aktiva fönster. Data överförs sedan till en bildhostingstjänst som heter ImgBB. Angriparna kan också beordra JhoneRAT att ladda ner och utföra ytterligare nyttolaster från Google Drive. Författarna till JhoneRAT kan också använda den för att utföra ett systemkommando. Utgången som registreras som ett svar placeras i ett Google Forms-dokument som är privat och alltså endast tillgängligt för angriparna.
Trots den relativt korta lista över funktioner som JhoneRAT har, är det faktum att detta hot kan maskera sin sammansatta trafik med legitima tjänster det ganska hotande eftersom antivirusverktyg kanske inte kan upptäcka det. Det är troligt att författarna till JhoneRAT är mycket erfarna och mycket skickliga.
