JhoneRAT
Die JhoneRAT ist eine beeindruckende RAT (Remote Access Trojaner), deren Aktivität in letzter Zeit zugenommen hat. Nach der Untersuchung dieser Bedrohung gelangten Malware-Analysten zu dem Schluss, dass sie wahrscheinlich von Grund auf neu entwickelt wurde. Dies ist nicht ungewöhnlich, aber viele RAT-Autoren ziehen es vor, den Code vorhandener Bedrohungen auszuleihen, anstatt ein Tool von Grund auf neu zu erstellen. Laut Experten ist die JhoneRAT in der Programmiersprache Python geschrieben.
Inhaltsverzeichnis
Ausbreitungsmethode
Die JhoneRAT wird mithilfe von Spam-E-Mail-Kampagnen verteilt. Dies ist eine sehr beliebte Verbreitungsmethode, wenn es um die Verbreitung von Malware geht. Normalerweise enthalten die Spam-E-Mails eine beschädigte angehängte Datei. Dies ist auch bei der JhoneRAT der Fall. Die Anhänge, die für die Weitergabe des JhoneRAT verwendet werden, haben zwei Typen: Einer behauptet, ein wichtiges Dokument zu sein, das dringend geöffnet werden muss, während der andere angibt, dass es sich um ein Archiv handelt, das Facebook-Anmeldeinformationen enthält, die durchgesickert sind. Wenn die Benutzer auf diesen Trick hereinfallen und die angehängte Datei öffnen, lösen sie den nächsten Schritt des JhoneRAT-Angriffs aus.
Verhindert die Erkennung durch Anti-Malware-Tools
Die Autoren der JhoneRAT verwenden einen sehr cleveren Trick, um die unsichere Aktivität dieser Bedrohung zu maskieren. Bei einer Gefährdung des Zielsystems würde JhoneRAT auch ein anderes Microsoft Office-Dokument herunterladen, das auf Google Drive gehostet wird. Nach dem Herunterladen wird das Dokument auf dem System gestartet. Die Angreifer haben dafür gesorgt, dass die Verwendung von Drittanbieteranwendungen (wie Google Drive) Vorrang hat. Dies hilft den Autoren dieser RAT, die Aktivität der Bedrohung zu verschleiern und die Sicherheitstools so zu täuschen, dass sie als legitim eingestuft werden.
Selbsterhaltungstechniken
Das zusätzliche Dokument, das die JhoneRAT von Google Drive abruft, enthält ein Modul, das das infiltrierte System auf das Vorhandensein einer Festplatten-Seriennummer scannen kann, da es Computern, die zum Debuggen von Malware verwendet werden, häufig an solchen fehlt. Dies bedeutet, dass die JhoneRAT erkennen kann, ob sie in einer Sandbox-Umgebung oder auf einem normalen Computer ausgeführt wird. Wenn der Scan feststellt, dass das System nicht zum Debuggen von Malware verwendet wird, setzt JhoneRAT den Angriff fort und ruft ein Bild von Google Drive ab.
Zielgruppe sind Nutzer aus dem Nahen Osten und Nordafrika
Das Bild, das JhoneRAT herunterladen würde, enthält eine maskierte Zeichenfolge, die mit base64 codiert ist. Als nächstes würde die JhoneRAT den fraglichen String dekodieren und als AutoIT-Skript extrahieren. Dieses Skript dient als Downloader, dessen Ziel es ist, die letzte auf Google Drive gehostete Nutzlast abzurufen. Als Nächstes setzt die JhoneRAT den Angriff fort, indem sie die Tastatur überprüft, die das Opfer verwendet. Die JhoneRAT setzt die Kampagne nur dann fort, wenn festgestellt wird, dass das Opfer eine für den Irak, Saudi-Arabien, Libyen, Kuwait, den Libanon, die Vereinigten Arabischen Emirate, Marokko, Tunesien, Oman, Ägypten, Bahrain, Jemen oder Algerien typische Tastatur verwendet.
Interessanterweise empfängt die JhoneRAT Befehle über ein Twitter-Profil. Diese Bedrohung würde sich mit dem fraglichen Twitter-Konto verbinden und alle aktuellen Tweets durchlaufen. Laut Cybersicherheitsforschern twittern die Entwickler von JhoneRAT Befehle, die von der RAT abgefangen und entsprechend ausgeführt werden. Twitter hat das betreffende Konto seitdem gewellt. Leider können die Autoren der JhoneRAT problemlos ein neues Twitter-Konto erstellen und ihre Kampagne fortsetzen.
Fähigkeiten
Die JhoneRAT ist auf Anwendungen von Drittanbietern angewiesen, um ihre Befehle auszuführen. Diese Bedrohung kann Screenshots des Desktops und der aktiven Fenster des Opfers aufnehmen. Die Daten werden dann an einen Image-Hosting-Dienst namens ImgBB übertragen. Die Angreifer können JhoneRAT auch anweisen, zusätzliche Nutzdaten von Google Drive herunterzuladen und auszuführen. Die Autoren der JhoneRAT können damit auch einen Systembefehl ausführen. Die als Antwort aufgezeichnete Ausgabe wird in ein Google Forms-Dokument gestellt, das privat ist und daher nur den Angreifern zugänglich ist.
Trotz der relativ kurzen Liste von Funktionen, die der JhoneRAT besitzt, ist er aufgrund der Tatsache, dass diese Bedrohung seinen falschen Datenverkehr mithilfe legitimer Dienste maskieren kann, eher bedrohlich, da Antiviren-Tools ihn möglicherweise nicht erkennen können. Es ist wahrscheinlich, dass die Autoren der JhoneRAT sehr erfahren und hochqualifiziert sind.
