JelusRAT
JelusRAT เป็นมัลแวร์ประเภทโทรจันสำหรับเข้าถึงระยะไกล (RAT) ที่ช่วยให้แฮกเกอร์สามารถควบคุมคอมพิวเตอร์ที่ถูกโจมตีได้อย่างลับๆ มัลแวร์นี้พัฒนาด้วยภาษา C++ และอาศัยตัวโหลดเฉพาะในการถอดรหัสและปล่อยเพย์โหลดหลัก แทนที่จะติดตั้งเป็นไฟล์แบบทั่วไป มัลแวร์จะทำงานโดยตรงในหน่วยความจำ ซึ่งช่วยลดขนาดไฟล์บนดิสก์และทำให้ตรวจจับได้ยากขึ้น หากตรวจพบ JelusRAT ในระบบ จำเป็นต้องกำจัดออกทันทีเพื่อป้องกันการโจมตีเพิ่มเติม
สารบัญ
ตัวโหลดที่ปลอมแปลงและการเรียกใช้งานแบบไร้ไฟล์
กระบวนการแพร่ระบาดเริ่มต้นด้วยโปรแกรมโหลดเดอร์ที่ปลอมตัวเป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย ส่วนประกอบนี้ซ่อนส่วนที่เข้ารหัสไว้สองส่วน: ส่วนหนึ่งบรรจุตัวมัลแวร์หลัก และอีกส่วนหนึ่งเก็บข้อมูลการกำหนดค่า เมื่อเปิดใช้งาน โปรแกรมโหลดเดอร์จะถอดรหัสข้อมูลหลักและเรียกใช้โดยตรงในหน่วยความจำของระบบ หลังจากนั้นโปรแกรมโหลดเดอร์จะลบตัวเองเพื่อทำลายหลักฐาน เทคนิค "ไร้ไฟล์" นี้ได้รับการออกแบบมาโดยเฉพาะเพื่อหลีกเลี่ยงการป้องกันความปลอดภัยแบบดั้งเดิมและการวิเคราะห์ทางนิติวิทยาศาสตร์
การจัดการการกำหนดค่าและกลยุทธ์การพรางตัว
หลังจากเริ่มทำงานแล้ว มัลแวร์จะเข้าถึงไฟล์การกำหนดค่าชื่อ Info.ini เพื่อดึงคำสั่งการทำงาน หลังจากอ่านไฟล์เสร็จแล้ว มันจะลบไฟล์นั้นทันทีเพื่อลดร่องรอยการบุกรุก ข้อมูลภายในไฟล์นี้ถูกเข้ารหัส และค่าที่ฝังอยู่ขนาดเล็กในไบต์แรกจะถูกมัลแวร์ใช้เพื่อถอดรหัสคำสั่งก่อนที่จะดำเนินการ
ความสามารถในการควบคุมระยะไกลและการจัดการคำสั่ง
JelusRAT ถูกสร้างขึ้นมาเพื่อรับคำสั่งต่างๆ จากเซิร์ฟเวอร์ของผู้โจมตี มันสามารถประกาศตัวเองเป็นกระบวนการระบบที่สำคัญ ซึ่งหมายความว่าการพยายามยุติการทำงานของมันโดยบังคับอาจทำให้เกิดหน้าจอสีน้ำเงินของ Windows ซึ่งเป็นการขัดขวางการลบด้วยตนเองอย่างมีประสิทธิภาพ มัลแวร์นี้ยังสามารถปิดใช้งานฟังก์ชันนี้ เปลี่ยนแปลงวิธีการสื่อสารกับโครงสร้างพื้นฐานการควบคุมและสั่งการ หรือปิดตัวเองเมื่อได้รับคำสั่งได้อีกด้วย
แพลตฟอร์มแบบโมดูลาร์ที่ขับเคลื่อนด้วยปลั๊กอิน
แทนที่จะกักเก็บฟังก์ชันที่เป็นอันตรายทั้งหมดไว้ภายใน JelusRAT ทำงานโดยหลักๆ แล้วในรูปแบบของเฟรมเวิร์ก มันสามารถดาวน์โหลดส่วนเสริมเพิ่มเติมในรูปแบบของปลั๊กอิน DLL จากเซิร์ฟเวอร์ของผู้โจมตี เพื่อขยายฟังก์ชันการทำงานตามต้องการ ความสามารถส่วนใหญ่ของมันถูกส่งผ่านโมดูลเหล่านี้ ทำให้ผู้โจมตีสามารถปรับมัลแวร์ให้เข้ากับวัตถุประสงค์ต่างๆ ได้โดยไม่ต้องติดตั้งเพย์โหลดทั้งหมดใหม่
JelusRAT สามารถนำมาใช้เพื่อแทรกซึมมัลแวร์ประเภทอื่นๆ ได้ รวมถึง:
- มัลแวร์เรียกค่าไถ่ โปรแกรมขุดคริปโตเคอร์เรนซี และเครื่องมือขโมยข้อมูล
- โปรแกรมที่เป็นอันตรายเพิ่มเติมที่ทำให้การโจมตีระบบรุนแรงขึ้นหรือขยายวงกว้างขึ้น
เหตุใด JelusRAT จึงเป็นภัยคุกคามร้ายแรง
JelusRAT โดดเด่นในฐานะภัยคุกคามที่ซ่อนเร้นและมีความยืดหยุ่นสูง การทำงานในหน่วยความจำ พฤติกรรมการลบตัวเอง และการออกแบบแบบปลั๊กอิน ช่วยให้มันหลบเลี่ยงการตรวจจับในขณะที่ยังคงควบคุมระบบที่ติดเชื้อได้อย่างต่อเนื่องและปรับเปลี่ยนได้ คุณสมบัติเหล่านี้ทำให้มันอันตรายเป็นพิเศษ เนื่องจากมันสามารถใช้เป็นแพลตฟอร์มในการปล่อยมัลแวร์ที่ทำลายล้างมากกว่าและปฏิบัติการอาชญากรไซเบอร์ขนาดใหญ่ได้อย่างง่ายดาย
พาหะนำโรคและวิธีการแพร่กระจายที่พบได้ทั่วไป
มัลแวร์ เช่น JelusRAT มักแพร่กระจายผ่านการหลอกลวงทางสังคมและวิธีการหลอกลวงทางออนไลน์ ผู้โจมตีมักล่อลวงเหยื่อให้เรียกใช้ไฟล์ที่เป็นอันตรายซึ่งปลอมแปลงเป็นเนื้อหาที่ถูกต้องตามกฎหมาย รวมถึงไฟล์ปฏิบัติการ สคริปต์ และรูปแบบเอกสาร เช่น Word, Excel, PDF หรืออิมเมจ ISO การโจมตีมักอาศัยอีเมลฟิชชิ่ง โฆษณาปลอม การหลอกลวงด้านการสนับสนุนทางเทคนิค ซอฟต์แวร์ละเมิดลิขสิทธิ์ และเว็บไซต์ที่ถูกบุกรุกเพื่อส่งไฟล์ที่เป็นอันตรายเหล่านี้
ช่องทางการแพร่กระจายอื่นๆ ที่พบได้ทั่วไป ได้แก่ ไดรฟ์ USB ที่ติดไวรัส เครือข่ายแบบ Peer-to-Peer โปรแกรมดาวน์โหลดจากบุคคลที่สาม และการใช้ช่องโหว่ของซอฟต์แวร์ที่ยังไม่ได้แก้ไข ในกรณีส่วนใหญ่ การติดไวรัสสำเร็จมักเกิดขึ้นเพราะผู้ใช้ถูกหลอกให้กระทำการบางอย่างโดยไม่รู้ตัว ซึ่งทำให้มัลแวร์สามารถแทรกซึมเข้าไปในระบบได้
