JelusRAT

JelusRAT 是一種遠端存取木馬 (RAT)，它使網路犯罪分子能夠秘密控制受感染的電腦。該木馬使用 C++ 編寫，依靠一個專門的加載器來解密並釋放其主要有效載荷。與傳統的檔案安裝方式不同，該惡意軟體直接在記憶體中執行，從而顯著減少了其在磁碟上的佔用空間，並增加了偵測難度。如果系統中偵測到 JelusRAT，必須立即將其清除，以防止系統進一步受損。

偽裝載入器和無檔案執行

感染鏈始於一個偽裝成合法應用程式的載入器。該元件隱藏了兩個加密段：一個包含核心惡意軟體，另一個儲存配置資料。一旦激活，載入器會解密主有效載荷並將其直接載入到系統記憶體中，之後載入器會自行刪除以清除痕跡。這種「無文件」技術專門用於繞過傳統的安全防禦和取證分析。

配置處理和隱蔽策略

執行後，主程式會存取名為 Info.ini 的設定檔以取得操作指令。讀取檔案後，它會立即將其刪除，以最大程度地減少入侵痕跡。該檔案中的資料經過混淆處理，惡意軟體會利用位於第一個位元組中的一個嵌入值來解碼指令，然後再執行它們。

遠端控制功能和命令處理

JelusRAT 旨在接收來自攻擊者伺服器的一系列命令。它可以將自身聲明為關鍵系統進程，這意味著任何強制終止它的嘗試都可能觸發 Windows 藍屏，從而有效地阻止手動移除。該惡意軟體還可以停用此功能，改變其與命令和控制基礎設施的通訊方式，或在收到指令後自行關閉。

基於插件的模組化平台

JelusRAT並非將所有惡意功能整合在內部，而是主要以框架的形式運作。它可以從攻擊者的伺服器下載DLL插件形式的附加元件，從而按需擴展其功能。其大部分功能都透過這些模組實現，使得攻擊者無需重新部署整個有效載荷即可根據不同的目標調整惡意軟體。

JelusRAT 可用於植入其他類型的惡意軟體，包括：

• 勒索軟體、加密貨幣挖礦程式和資訊竊取工具
• 加深或擴大系統入侵的其他惡意程序

為什麼 JelusRAT 構成嚴重風險

JelusRAT 是一種隱蔽性強、高度靈活的威脅。它採用記憶體內執行、自刪除機制和插件式設計，使其能夠在逃避檢測的同時，對受感染的系統保持持續且靈活的控制。這些特性使其格外危險，因為它很容易成為更具破壞性的惡意軟體和大規模網路犯罪活動的發射平台。

常見感染媒介和傳播方式

JelusRAT 等惡意軟體最常透過社交工程和欺騙性網路手段傳播。攻擊者通常誘騙受害者執行偽裝成合法內容的惡意文件，包括可執行文件、腳本以及 Word、Excel、PDF 或 ISO 映像等文件格式。感染活動經常利用網路釣魚郵件、虛假廣告、科技支援詐騙、盜版軟體和被入侵的網站來傳播這些惡意程式。

其他已知的傳播管道包括受感染的USB、點對點網路、第三方下載工具、利用未修補的軟體漏洞。在大多數情況下，感染成功是因為使用者被誘騙執行某些操作，從而在不知不覺中為惡意軟體提供了立足之地。