JhoneRAT

JhoneRAT是一种令人印象深刻的RAT（远程访问木马），其活动最近激增。在研究了这种威胁之后，恶意软件分析家得出结论，它很可能是从头开始构建的。这并不罕见，但是许多RAT的作者更喜欢借用现有威胁的代码，而不是从头开始构建工具。根据专家的说法，JhoneRAT是用Python编程语言编写的。

传播方式

JhoneRAT借助垃圾邮件活动进行分发。当传播恶意软件时，这是一种非常流行的传播方法。通常，垃圾邮件将包含损坏的附件。 JhoneRAT也是如此。 JhoneRAT传播中使用的附件有两种类型-一种声称是必须紧急打开的重要文档，另一种声称它是包含已泄露的Facebook登录凭据的存档。如果用户因此技巧而打开了附件文件，他们将触发JhoneRAT攻击的下一步执行。

避免通过反恶意软件工具进行检测

JhoneRAT的作者使用了一个非常聪明的技巧来掩盖此威胁的不安全行为。一旦破坏了目标系统，JhoneRAT也将下载另一个托管在Google云端硬盘上的Microsoft Office文档。下载后，该文档将在系统上启动。攻击者已确保优先使用第三方应用程序（例如Google Drive）。这可以帮助该RAT的作者掩盖威胁的活动，并欺骗安全工具将其列为合法威胁。

自我保存技术

JhoneRAT从Google云端硬盘获取的其他文档包含一个模块，该模块能够扫描渗透系统中是否存在硬盘序列号，因为用于恶意软件调试的计算机通常缺少这种序列号。这意味着JhoneRAT能够检测它是在沙盒环境中运行还是在常规计算机中运行。如果扫描确定该系统未用于恶意软件调试，则JhoneRAT将继续进行攻击并从Google云端硬盘中获取图片。

面向来自中东和北非的用户

JhoneRAT将下载的映像包含一个用base64编码的掩码字符串。接下来，JhoneRAT将解码所讨论的字符串并将其提取为AutoIT脚本。该脚本充当下载程序，其目的是获取Google云端硬盘上托管的最后一个有效负载。接下来，JhoneRAT将通过检查受害者正在使用的键盘来进行攻击。 JhoneRAT仅在检测到受害者使用的是伊拉克，沙特阿拉伯，利比亚，科威特，黎巴嫩，阿联酋，摩洛哥，突尼斯，阿曼，埃及，巴林，也门或阿尔及利亚所特有的键盘时，才会继续进行运动。

有趣的是，JhoneRAT通过Twitter个人资料接收命令。该威胁将连接到有问题的Twitter帐户，并贯穿其所有最新推文。据网络安全研究人员称，JhoneRAT的创建者发布了被RAT拦截并相应执行的命令。从那以后，Twitter一直在摇晃该帐户。不幸的是，JhoneRAT的作者可以创建一个新的Twitter帐户并轻松地继续他们的竞选活动。

能力

JhoneRAT依赖第三方应用程序执行其命令。这种威胁可能会捕获受害者的桌面和活动窗口的屏幕截图。然后将数据传输到名为ImgBB的图像托管服务。攻击者还可以命令JhoneRAT从Google云端硬盘下载并执行其他有效负载。 JhoneRAT的作者还可以使用它来执行系统命令。记录为响应的输出被放置在Google表单文档中，该文档是私有的，因此仅攻击者可以访问。

尽管JhoneRAT拥有的功能列表相对较短，但这种威胁可以使用合法服务掩盖其虚假流量的事实使它相当具有威胁性，因为防病毒工具可能无法发现它。 JhoneRAT的作者很可能是非常有经验和高技能的。