Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại JelusRAT

JelusRAT

Đến năm Mezo năm Phần mềm độc hại, Công cụ quản lý từ xa
Dịch sang:

JelusRAT là một loại mã độc Trojan truy cập từ xa (RAT) cho phép tội phạm mạng bí mật kiểm soát các máy tính bị xâm nhập. Được phát triển bằng ngôn ngữ C++, nó dựa vào một trình tải chuyên dụng để giải mã và giải phóng phần mềm độc hại chính. Thay vì tự cài đặt dưới dạng một tập tin thông thường, phần mềm độc hại này thực thi trực tiếp trong bộ nhớ, làm giảm đáng kể dung lượng ổ đĩa và khiến việc phát hiện trở nên khó khăn hơn. Nếu JelusRAT được phát hiện trên hệ thống, việc loại bỏ ngay lập tức là rất quan trọng để ngăn chặn các nguy cơ xâm nhập tiếp theo.

Trình tải ngụy trang và thực thi không cần tệp

Chuỗi lây nhiễm bắt đầu bằng một chương trình tải (loader) giả dạng ứng dụng hợp pháp. Thành phần này ẩn chứa hai phân đoạn được mã hóa: một phân đoạn chứa phần mềm độc hại cốt lõi và phân đoạn còn lại lưu trữ dữ liệu cấu hình. Sau khi được kích hoạt, chương trình tải sẽ giải mã phần mềm độc hại chính và khởi chạy trực tiếp vào bộ nhớ hệ thống, sau đó tự xóa để xóa dấu vết. Kỹ thuật "không cần tệp" này được thiết kế đặc biệt để vượt qua các biện pháp phòng vệ an ninh truyền thống và phân tích pháp y.

Xử lý cấu hình và chiến thuật bí mật

Sau khi thực thi, phần mềm độc hại chính sẽ truy cập vào một tệp cấu hình có tên Info.ini để lấy các hướng dẫn vận hành. Ngay sau khi đọc tệp, nó sẽ xóa tệp đó để giảm thiểu dấu vết xâm nhập. Dữ liệu bên trong tệp này được mã hóa, và một giá trị nhúng nhỏ, nằm ở byte đầu tiên, được phần mềm độc hại sử dụng để giải mã các hướng dẫn trước khi chúng được thực thi.

Khả năng điều khiển từ xa và xử lý lệnh

JelusRAT được thiết kế để chấp nhận nhiều lệnh khác nhau từ máy chủ của kẻ tấn công. Nó có thể tự tuyên bố mình là một tiến trình hệ thống quan trọng, nghĩa là bất kỳ nỗ lực nào nhằm buộc chấm dứt nó đều có thể gây ra lỗi màn hình xanh trên Windows, khiến việc gỡ bỏ thủ công trở nên khó khăn. Phần mềm độc hại này cũng có khả năng vô hiệu hóa chức năng này, thay đổi cách thức giao tiếp với cơ sở hạ tầng điều khiển của nó, hoặc tự tắt khi được lệnh.

Một nền tảng mô-đun được hỗ trợ bởi các plugin.

Thay vì chứa tất cả các chức năng độc hại bên trong, JelusRAT hoạt động chủ yếu như một khung phần mềm. Nó có thể tải xuống các tiện ích bổ sung dưới dạng plugin DLL từ máy chủ của kẻ tấn công, mở rộng chức năng của nó theo yêu cầu. Hầu hết các khả năng của nó được cung cấp thông qua các mô-đun này, cho phép các tác nhân đe dọa điều chỉnh phần mềm độc hại cho các mục tiêu khác nhau mà không cần triển khai lại toàn bộ phần mềm.

JelusRAT có thể được sử dụng để phát tán các loại phần mềm độc hại khác, bao gồm:

  • Phần mềm tống tiền, phần mềm khai thác tiền điện tử và các công cụ đánh cắp thông tin
  • Các chương trình độc hại bổ sung làm trầm trọng thêm hoặc mở rộng sự xâm nhập hệ thống.

Vì sao JelusRAT lại tiềm ẩn rủi ro nghiêm trọng?

JelusRAT nổi bật như một mối đe dọa lén lút và cực kỳ linh hoạt. Khả năng thực thi trong bộ nhớ, hành vi tự xóa và thiết kế dựa trên plugin cho phép nó tránh bị phát hiện trong khi vẫn duy trì quyền kiểm soát liên tục và có thể thích ứng đối với các hệ thống bị nhiễm. Những đặc điểm này khiến nó đặc biệt nguy hiểm, vì nó có thể dễ dàng đóng vai trò là nền tảng khởi chạy cho các phần mềm độc hại nguy hiểm hơn và các hoạt động tội phạm mạng quy mô lớn.

Các tác nhân lây nhiễm phổ biến và phương thức lây lan

Phần mềm độc hại như JelusRAT thường được phát tán thông qua kỹ thuật xã hội và các thủ đoạn lừa đảo trực tuyến. Kẻ tấn công thường dụ dỗ nạn nhân chạy các tập tin độc hại được ngụy trang thành nội dung hợp pháp, bao gồm các tập lệnh, kịch bản và các định dạng tài liệu như Word, Excel, PDF hoặc ảnh ISO. Các chiến dịch lây nhiễm thường dựa vào email lừa đảo, quảng cáo giả mạo, lừa đảo hỗ trợ kỹ thuật, phần mềm lậu và các trang web bị xâm nhập để phát tán các phần mềm độc hại này.

Các kênh phân phối phổ biến khác bao gồm ổ USB bị nhiễm virus, mạng ngang hàng (peer-to-peer), tiện ích tải xuống của bên thứ ba và việc khai thác các lỗ hổng phần mềm chưa được vá. Trong hầu hết các trường hợp, sự lây nhiễm thành công xảy ra do người dùng bị lừa thực hiện một hành động mà không hề hay biết đã tạo điều kiện cho phần mềm độc hại xâm nhập.

xu hướng

Vụ lừa đảo phát hành token Trump qua Airdrop

Lừa đảo, Các trang web lừa đảo
Việc luôn cảnh giác khi xử lý các email bất ngờ hoặc không được yêu cầu là vô cùng quan trọng. Tội phạm mạng ngày càng sử dụng các tin nhắn được soạn thảo tinh vi, giả mạo các thương hiệu nổi tiếng, các dự án đang thịnh hành hoặc các chủ đề nổi bật để thao túng người nhận tiết lộ thông tin nhạy cảm. Các email được gọi là "Trump Token Airdrop" thuộc loại này. Những tin nhắn này không liên quan...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
27,213
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...