JelusRAT
Ang JelusRAT ay isang remote access trojan (RAT) na nagbibigay sa mga cybercriminal ng palihim na kontrol sa mga nakompromisong computer. Binuo sa C++, umaasa ito sa isang espesyalisadong loader upang i-decrypt at ilabas ang pangunahing payload nito. Sa halip na i-install ang sarili nito bilang isang tradisyonal na file, ang malware ay direktang isinasagawa sa memorya, na makabuluhang binabawasan ang bakas nito sa disk at ginagawang mas mahirap ang pagtukoy. Kung ang JelusRAT ay matukoy sa isang sistema, ang agarang pag-alis ay mahalaga upang maiwasan ang karagdagang pagkakompromiso.
Talaan ng mga Nilalaman
Ang Disguised Loader at Fileless Execution
Ang kadena ng impeksyon ay nagsisimula sa isang loader na nagkukunwaring isang lehitimong aplikasyon. Itinatago ng component na ito ang dalawang naka-encrypt na segment: ang isa ay naglalaman ng pangunahing malware at ang isa naman ay nag-iimbak ng data ng configuration. Kapag na-activate na, ide-decrypt ng loader ang pangunahing payload at direktang inilulunsad ito sa system memory, pagkatapos nito ay binubura ng loader ang sarili nito upang burahin ang ebidensya. Ang pamamaraang 'walang file' na ito ay partikular na idinisenyo upang malampasan ang mga tradisyonal na depensa sa seguridad at forensic analysis.
Paghawak ng Konfigurasyon at Mga Taktika sa Pagnanakaw
Pagkatapos ng pagpapatupad, ina-access ng pangunahing payload ang isang configuration file na pinangalanang Info.ini upang makuha ang mga tagubilin sa pagpapatakbo. Kaagad pagkatapos basahin ang file, binubura nito ito upang mabawasan ang mga bakas ng panghihimasok. Ang data sa loob ng file na ito ay tinatakpan, at isang maliit na naka-embed na value, na matatagpuan sa unang byte, ang ginagamit ng malware upang i-decode ang mga tagubilin bago ang mga ito isagawa.
Mga Kakayahan sa Remote Control at Paghawak ng Utos
Ang JelusRAT ay ginawa upang tumanggap ng iba't ibang utos mula sa server ng isang umaatake. Maaari nitong ideklara ang sarili bilang isang kritikal na proseso ng sistema, ibig sabihin, ang anumang pagtatangka na puwersahang wakasan ito ay maaaring magdulot ng blue screen sa Windows, na epektibong pumipigil sa manu-manong pag-alis. Nagagawa rin ng malware na i-disable ang function na ito, baguhin kung paano ito nakikipag-ugnayan sa command-and-control infrastructure nito, o isara ang sarili nito kapag inutusan.
Isang Modular na Plataporma na Pinapagana ng mga Plugin
Sa halip na isama ang lahat ng malisyosong function sa loob, ang JelusRAT ay pangunahing gumagana bilang isang framework. Maaari itong mag-download ng mga karagdagang add-on sa anyo ng mga DLL plugin mula sa server ng attacker, na nagpapalawak ng functionality nito on demand. Karamihan sa mga kakayahan nito ay inihahatid sa pamamagitan ng mga module na ito, na nagpapahintulot sa mga threat actor na iakma ang malware sa iba't ibang layunin nang hindi muling inilalagay ang buong payload.
Maaaring gamitin ang JelusRAT upang magpakilala ng iba pang uri ng malware, kabilang ang:
- Ransomware, mga minero ng cryptocurrency, at mga tool sa pagnanakaw ng impormasyon
- Mga karagdagang malisyosong programa na nagpapalalim o nagpapalawak ng pagkakompromiso sa sistema
Bakit ang JelusRAT ay kumakatawan sa isang Malubhang Panganib
Ang JelusRAT ay namumukod-tangi bilang isang palihim at lubos na nababaluktot na banta. Ang in-memory execution, self-deleting behavior, at plugin-based na disenyo nito ay nagbibigay-daan dito upang maiwasan ang pagtuklas habang pinapanatili ang patuloy at madaling ibagay na kontrol sa mga nahawaang sistema. Ang mga katangiang ito ay ginagawa itong partikular na mapanganib, dahil madali itong magsilbing plataporma para sa mas mapanirang malware at malawakang operasyon ng cybercriminal.
Mga Karaniwang Vector ng Impeksyon at Mga Paraan ng Distribusyon
Ang mga malware tulad ng JelusRAT ay kadalasang kumakalat sa pamamagitan ng social engineering at mapanlinlang na mga online na kasanayan. Karaniwang inaakit ng mga umaatake ang mga biktima na magpatakbo ng mga malisyosong file na nagkukunwaring lehitimong nilalaman, kabilang ang mga executable, script, at mga format ng dokumento tulad ng Word, Excel, PDF, o mga ISO na imahe. Ang mga kampanya ng impeksyon ay madalas na umaasa sa mga phishing email, pekeng mga advertisement, mga scam sa tech support, pirated na software, at mga nakompromisong website upang maihatid ang mga payload na ito.
Kabilang sa iba pang mga itinatag na channel ng pamamahagi ang mga nahawaang USB drive, mga peer-to-peer network, mga third-party download utilities, at ang pagsasamantala sa mga hindi pa na-patch na kahinaan ng software. Sa karamihan ng mga kaso, ang matagumpay na impeksyon ay nangyayari dahil ang mga user ay nalinlang na magsagawa ng isang aksyon na hindi namamalayang nagbibigay ng lugar sa malware.
