JhoneRAT
Le JhoneRAT est un impressionnant RAT (cheval de Troie d'accès à distance) dont l'activité a connu un pic récemment. Après avoir étudié cette menace, les analystes de logiciels malveillants ont conclu qu'elle avait probablement été construite à partir de zéro. Ce n'est pas inhabituel, mais de nombreux auteurs de RAT préfèrent emprunter le code des menaces existantes plutôt que de créer un outil à partir de zéro. Selon les experts, le JhoneRAT est écrit dans le langage de programmation Python.
Table des matières
Méthode de propagation
Le JhoneRAT est distribué à l'aide de campagnes de courrier indésirable. Il s'agit d'une méthode de propagation très populaire lorsqu'il s'agit de propager des logiciels malveillants. Habituellement, les courriers indésirables contiennent un fichier joint corrompu. C'est également le cas avec le JhoneRAT. Les pièces jointes utilisées dans la propagation du JhoneRAT ont deux types - l'un prétend être un document important qui doit être ouvert de toute urgence, tandis que l'autre déclare qu'il s'agit d'une archive contenant les informations de connexion Facebook qui ont été divulguées. Si les utilisateurs succombent à cette astuce et ouvrent le fichier joint, ils déclencheront l'exécution de la prochaine étape de l'attaque de JhoneRAT.
Évite la détection par des outils anti-malware
Les auteurs du JhoneRAT utilisent une astuce très intelligente pour masquer l'activité dangereuse de cette menace. En cas de compromission du système ciblé, le JhoneRAT téléchargerait également un autre document Microsoft Office hébergé sur Google Drive. Une fois téléchargé, le document sera lancé sur le système. Les attaquants se sont assurés que l'utilisation d'applications tierces (comme Google Drive) était prioritaire. Cela aide les auteurs de ce RAT à masquer l'activité de la menace et à inciter les outils de sécurité à le répertorier comme légitime.
Techniques d'auto-conservation
Le document supplémentaire que le JhoneRAT récupère de Google Drive contient un module qui est capable de scanner le système infiltré pour la présence d'un numéro de série de disque dur car les ordinateurs utilisés pour le débogage de logiciels malveillants en manquent souvent. Cela signifie que le JhoneRAT est capable de détecter s'il est exécuté dans un environnement sandbox ou un ordinateur ordinaire. Si l'analyse détermine que le système n'est pas utilisé pour le débogage de logiciels malveillants, le JhoneRAT poursuivra l'attaque et récupérera une image de Google Drive.
Cible les utilisateurs du Moyen-Orient et d'Afrique du Nord
L'image que le JhoneRAT téléchargerait contient une chaîne masquée codée en base64. Ensuite, le JhoneRAT décode la chaîne en question et l'extrait en tant que script AutoIT. Ce script sert de téléchargeur dont le but est de récupérer la dernière charge utile hébergée sur Google Drive. Ensuite, le JhoneRAT procéderait à l'attaque en vérifiant le clavier que la victime utilise. Le JhoneRAT ne poursuivra la campagne que s'il détecte que la victime utilise un clavier typique de l'Irak, de l'Arabie saoudite, de la Libye, du Koweït, du Liban, des Émirats arabes unis, du Maroc, de la Tunisie, d'Oman, de l'Égypte, de Bahreïn, du Yémen ou de l'Algérie.
Chose intéressante, le JhoneRAT reçoit des commandes via un profil Twitter. Cette menace se connecterait au compte Twitter en question et parcourrait tous ses tweets les plus récents. Selon les chercheurs en cybersécurité, les créateurs de JhoneRAT ont tweeté des commandes qui sont interceptées par la RAT et exécutées en conséquence. Twitter a depuis agité le compte en question. Malheureusement, les auteurs du JhoneRAT peuvent créer un nouveau compte Twitter et poursuivre leur campagne facilement.
Capacités
Le JhoneRAT s'appuie sur des applications tierces pour exécuter ses commandes. Cette menace peut prendre des captures d'écran du bureau de la victime et des fenêtres actives. Les données sont ensuite transférées vers un service d'hébergement d'images appelé ImgBB. Les attaquants peuvent également commander au JhoneRAT de télécharger et d'exécuter des charges utiles supplémentaires à partir de Google Drive. Les auteurs du JhoneRAT peuvent également l'utiliser pour exécuter une commande système. La sortie enregistrée comme réponse est placée dans un document Google Forms qui est privé et donc accessible uniquement aux attaquants.
Malgré la liste relativement courte des capacités du JhoneRAT, le fait que cette menace puisse masquer son trafic créé à l'aide de services légitimes le rend plutôt menaçant car les outils antivirus peuvent ne pas être en mesure de le détecter. Il est probable que les auteurs du JhoneRAT sont très expérimentés et hautement qualifiés.
