Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware JelusRAT

JelusRAT

Von Mezo in Malware, Tools zur Remoteverwaltung
Übersetzen Sie in:

JelusRAT ist ein Remote-Access-Trojaner (RAT), der Cyberkriminellen die verdeckte Kontrolle über kompromittierte Computer ermöglicht. Er wurde in C++ entwickelt und verwendet einen speziellen Loader, um seine eigentliche Nutzlast zu entschlüsseln und auszuführen. Anstatt sich als herkömmliche Datei zu installieren, wird die Schadsoftware direkt im Arbeitsspeicher ausgeführt. Dadurch wird der Speicherplatzbedarf auf der Festplatte deutlich reduziert und die Erkennung erschwert. Wird JelusRAT auf einem System entdeckt, ist eine sofortige Entfernung unerlässlich, um weitere Schäden zu verhindern.

Der getarnte Loader und die dateilose Ausführung

Die Infektionskette beginnt mit einem Loader, der sich als legitime Anwendung tarnt. Diese Komponente verbirgt zwei verschlüsselte Segmente: eines mit der eigentlichen Schadsoftware und das andere mit Konfigurationsdaten. Nach der Aktivierung entschlüsselt der Loader die Hauptnutzlast und lädt sie direkt in den Arbeitsspeicher. Anschließend löscht er sich selbst, um Spuren zu verwischen. Diese dateilose Technik ist speziell darauf ausgelegt, herkömmliche Sicherheitsvorkehrungen und forensische Analysen zu umgehen.

Konfigurationsverwaltung und Tarntaktiken

Nach der Ausführung greift die Hauptnutzlast auf eine Konfigurationsdatei namens Info.ini zu, um die Betriebsanweisungen abzurufen. Unmittelbar nach dem Lesen wird die Datei gelöscht, um die Spuren des Angriffs zu minimieren. Die Daten in dieser Datei sind verschleiert, und ein kleiner, im ersten Byte eingebetteter Wert dient der Schadsoftware dazu, die Anweisungen vor ihrer Ausführung zu entschlüsseln.

Fernsteuerungsfunktionen und Befehlsverarbeitung

JelusRAT ist so konzipiert, dass es eine Reihe von Befehlen vom Server eines Angreifers entgegennimmt. Es kann sich selbst als kritischen Systemprozess deklarieren, was bedeutet, dass jeder Versuch, es zwangsweise zu beenden, einen Windows-Bluescreen auslösen und somit eine manuelle Entfernung effektiv verhindern kann. Die Malware kann diese Funktion auch deaktivieren, die Kommunikation mit ihrer Kommando- und Kontrollinfrastruktur verändern oder sich auf Anweisung selbst herunterfahren.

Eine modulare, auf Plugins basierende Plattform

JelusRAT enthält nicht alle schädlichen Funktionen intern, sondern fungiert primär als Framework. Es kann zusätzliche Erweiterungen in Form von DLL-Plugins vom Server des Angreifers herunterladen und so seine Funktionalität bei Bedarf erweitern. Die meisten Funktionen werden über diese Module bereitgestellt, wodurch Angreifer die Malware an verschiedene Ziele anpassen können, ohne die gesamte Nutzlast neu bereitstellen zu müssen.

JelusRAT kann genutzt werden, um andere Arten von Schadsoftware einzuschleusen, darunter:

  • Ransomware, Kryptowährungs-Miner und Tools zum Datendiebstahl
  • Zusätzliche Schadprogramme, die die Systemkompromittierung vertiefen oder ausweiten.

Warum JelusRAT ein ernsthaftes Risiko darstellt

JelusRAT zeichnet sich durch seine Heimlichkeit und hohe Flexibilität aus. Dank seiner Ausführung im Arbeitsspeicher, seines selbstlöschenden Verhaltens und seines Plugin-basierten Designs entgeht es der Erkennung und behält gleichzeitig die dauerhafte und anpassungsfähige Kontrolle über infizierte Systeme. Diese Eigenschaften machen es besonders gefährlich, da es leicht als Ausgangspunkt für zerstörerischere Malware und groß angelegte Cyberkriminalitätsoperationen dienen kann.

Häufige Infektionsvektoren und Verbreitungswege

Schadsoftware wie JelusRAT verbreitet sich meist durch Social Engineering und betrügerische Online-Praktiken. Angreifer verleiten ihre Opfer typischerweise dazu, schädliche Dateien auszuführen, die als legitime Inhalte getarnt sind. Dazu gehören ausführbare Dateien, Skripte und Dokumentformate wie Word, Excel, PDF oder ISO-Images. Infektionskampagnen nutzen häufig Phishing-E-Mails, gefälschte Werbung, betrügerischen technischen Support, Raubkopien und kompromittierte Websites, um diese Schadsoftware zu verbreiten.

Weitere etablierte Verbreitungswege sind infizierte USB-Sticks, Peer-to-Peer-Netzwerke, Download-Tools von Drittanbietern und die Ausnutzung ungepatchter Software-Sicherheitslücken. In den meisten Fällen erfolgen erfolgreiche Infektionen, weil Benutzer durch eine Täuschung zu einer Handlung verleitet werden, die der Schadsoftware unwissentlich einen Zugang verschafft.

Im Trend

Am häufigsten gesehen

Wird geladen...