JhoneRAT

JhoneRAT是一種令人印象深刻的RAT(遠程訪問木馬),其活動最近激增。在研究了這種威脅之後,惡意軟件分析家得出結論,它很可能是從頭開始構建的。這並不罕見,但是許多RAT的作者更喜歡借用現有威脅的代碼,而不是從頭開始構建工具。根據專家的說法,JhoneRAT是用Python編程語言編寫的。

傳播方式

JhoneRAT借助垃圾郵件活動進行分發。當傳播惡意軟件時,這是一種非常流行的傳播方法。通常,垃圾郵件將包含損壞的附件。 JhoneRAT也是如此。 JhoneRAT傳播中使用的附件有兩種類型-一種聲稱是必須緊急打開的重要文檔,另一種聲稱它是包含已洩露的Facebook登錄憑據的存檔。如果用戶因此技巧而打開了附件文件,他們將觸發JhoneRAT攻擊的下一步執行。

避免通過反惡意軟件工具進行檢測

JhoneRAT的作者使用了一個非常聰明的技巧來掩蓋此威脅的不安全行為。一旦破壞了目標系統,JhoneRAT也將下載另一個託管在Google雲端硬盤上的Microsoft Office文檔。下載後,該文檔將在系統上啟動。攻擊者已確保優先使用第三方應用程序(例如Google Drive)。這有助於該RAT的作者掩蓋威脅的活動,並欺騙安全工具將其列為合法威脅。

自我保存技術

JhoneRAT從Google雲端硬盤獲取的其他文檔中包含一個模塊,該模塊能夠掃描滲透系統中是否存在硬盤序列號,因為用於惡意軟件調試的計算機通常缺乏這種序列號。這意味著JhoneRAT能夠檢測它是在沙盒環境中還是在常規計算機中運行。如果掃描確定該系統未用於惡意軟件調試,則JhoneRAT將繼續進行攻擊並從Google雲端硬盤中獲取圖片。

面向來自中東和北非的用戶

JhoneRAT將下載的映像包含一個用base64編碼的掩碼字符串。接下來,JhoneRAT將解碼所討論的字符串並將其提取為AutoIT腳本。該腳本充當下載程序,其目的是獲取Google雲端硬盤上託管的最後一個有效負載。接下來,JhoneRAT將通過檢查受害者正在使用的鍵盤來進行攻擊。 JhoneRAT僅在檢測到受害者使用的是伊拉克,沙特阿拉伯,利比亞,科威特,黎巴嫩,阿聯酋,摩洛哥,突尼斯,阿曼,埃及,巴林,也門或阿爾及利亞所特有的鍵盤時,才會繼續進行運動。

有趣的是,JhoneRAT通過Twitter個人資料接收命令。該威脅將連接到有問題的Twitter帳戶,並貫穿其所有最新推文。據網絡安全研究人員稱,JhoneRAT的創建者發布了被RAT攔截並相應執行的命令。從那以後,Twitter一直在搖晃該帳戶。不幸的是,JhoneRAT的作者可以創建一個新的Twitter帳戶並輕鬆地繼續他們的競選活動。

能力

JhoneRAT依賴第三方應用程序執行其命令。這種威脅可能會捕獲受害者的桌面和活動窗口的屏幕截圖。然後,數據被傳輸到名為ImgBB的圖像託管服務。攻擊者還可以命令JhoneRAT從Google雲端硬盤下載並執行其他有效負載。 JhoneRAT的作者還可以使用它來執行系統命令。記錄為響應的輸出被放置在Google表單文檔中,該文檔是私有的,因此僅攻擊者可以訪問。

儘管JhoneRAT擁有的功能列表相對較短,但這種威脅可以使用合法服務掩蓋其虛假流量的事實使它相當具有威脅性,因為防病毒工具可能無法發現它。 JhoneRAT的作者很可能是非常有經驗和高技能的。

熱門

最受關注

加載中...