マルチデバイス ライセンス(ボリューム ディスカウント)
Threat Database Remote Administration Tools JhoneRAT

JhoneRAT

Remote Administration ToolsGoldSparrowまで
翻訳内容:
日本語

JhoneRATは印象的なRAT(リモートアクセストロイの木馬)で、最近その活動が急増しています。この脅威を調査した後、マルウェアアナリストはゼロから構築された可能性が高いと結論付けました。これは珍しいことではありませんが、RATの作成者の多くは、ツールをゼロから構築するのではなく、既存の脅威のコードを借用することを好みます。専門家によると、JhoneRATはPythonプログラミング言語で書かれています。

伝播方法

JhoneRATは、スパムメールキャンペーンの助けを借りて配布されています。これは、マルウェアの拡散に関して非常に一般的な伝播方法です。通常、スパムメールには破損した添付ファイルが含まれます。これはJhoneRATにも当てはまります。 JhoneRATの伝播で使用される添付ファイルには2つのタイプがあります。1つは緊急に開く必要がある重要なドキュメントであると主張し、もう1つは漏えいしたFacebookログイン資格情報を含むアーカイブであると述べています。ユーザーがこのトリックに該当して添付ファイルを開くと、JhoneRATの攻撃の次のステップの実行がトリガーされます。

マルウェア対策ツールによる検出を回避

JhoneRATの作成者は、非常に巧妙なトリックを使用して、この脅威の危険な活動を隠しています。標的のシステムを侵害すると、JhoneRATはGoogleドライブでホストされている別のMicrosoft Officeドキュメントもダウンロードします。ダウンロードされると、システム上でドキュメントが起動されます。攻撃者は、サードパーティのアプリケーション(Googleドライブなど)の使用が優先されるようにしました。これにより、このRATの作成者は脅威の活動を偽装し、セキュリティツールをだまして正当なものとしてリストすることができます。

自己保存テクニック

JhoneRATがGoogleドライブから取得する追加のドキュメントには、ハードウェアシリアル番号の存在について侵入システムをスキャンできるモジュールが含まれています。これは、JhoneRATがサンドボックス環境で実行されているか、通常のコンピューターで実行されているかを検出できることを意味します。システムがマルウェアのデバッグに使用されていないとスキャンが判断した場合、JhoneRATは攻撃を続行し、Googleドライブから画像を取得します。

中東および北アフリカのユーザーをターゲット

JhoneRATがダウンロードするイメージには、base64でエンコードされたマスクされた文字列が含まれています。次に、JhoneRATは問題の文字列をデコードし、AutoITスクリプトとして抽出します。このスクリプトは、Googleドライブでホストされている最後のペイロードを取得することを目的とするダウンローダーとして機能します。次に、JhoneRATは被害者が使用しているキーボードをチェックすることで攻撃を続行します。 JhoneRATは、被害者がイラク、サウジアラビア、リビア、クウェート、レバノン、UAE、モロッコ、チュニジア、オマーン、エジプト、バーレーン、イエメン、またはアルジェリアに典型的なキーボードを使用していることを検出した場合にのみキャンペーンを継続します。

興味深いことに、JhoneRATはTwitterプロファイルを介してコマンドを受け取ります。この脅威は、問題のTwitterアカウントに接続し、最新のツイートすべてを実行します。サイバーセキュリティ研究者によると、JhoneRATの作成者は、RATによってインターセプトされ、それに応じて実行されるコマンドをツイートします。 Twitterはその後、問題のアカウントを振り払った。残念ながら、JhoneRATの作成者は新しいTwitterアカウントを作成し、キャンペーンを簡単に継続できます。

能力

JhoneRATは、サードパーティアプリケーションに依存してコマンドを実行します。この脅威は、被害者のデスクトップとアクティブなウィンドウのスクリーンショットを撮ることができます。その後、データはImgBBと呼ばれる画像ホスティングサービスに転送されます。攻撃者はJhoneRATに命令して、Googleドライブから追加のペイロードをダウンロードして実行することもできます。 JhoneRATの作成者は、これを使用してシステムコマンドを実行することもできます。応答として記録された出力は、プライベートであるため攻撃者のみがアクセスできるGoogleフォームドキュメントに配置されます。

JhoneRATが持つ機能のリストは比較的短いにもかかわらず、この脅威が正当なサービスを使用して作成されたトラフィックをマスクできるという事実は、ウイルス対策ツールが見つけられない可能性があるため、かなり脅威になります。 JhoneRATの作成者は、非常に経験豊富で高度なスキルを持っている可能性があります。

トレンド

「YouPorn」メール詐欺

Spam
「YouPorn」電子メールを徹底的に調査した結果、サイバーセキュリティの専門家はその詐欺的性質を確認しました。これらの電子メールはさまざまなスパムの亜種の一部であり、すべてセクストーション戦術に似ています。 これらの欺瞞メールに共通するのは、受信者が最近 YouPorn Web サイトに投稿された露骨な性的コンテンツに関与しているという捏造された主張です。その後、電子メールには、当該コンテンツの削除と今後のアップロードの防止のための複数の支払いオプションが提示されます。 これらの電子メールで提起されたすべての主張には根拠がなく、この通信は正規の YouPorn Web サイトとはまった...

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng は、ユーザーの Web ブラウザの検索機能を操作し、検索を望まない検索エンジンにリダイレクトするブラウザ拡張機能の一種です。ブラウザ ハイジャッカーとして知られるこの侵入的なソフトウェアは、ブラウザのデフォルトの検索エンジン設定を変更し、代わりにsafesearcheng.comを使用するように強制します。 Safe Search Eng のようなブラウザ ハ...

私の壁紙

Browser Hijackers
コンピューター ユーザーは、オンライン エクスペリエンスを向上させるために設計されたさまざまなソフトウェアやアプリケーションに遭遇することがよくあります。ただし、すべてのソフトウェアが善意を持って作成されているわけではなく、完全に安全ではないソフトウェアもあります。そのような例の 1 つは、MyWallPaper として知られるブラウザ ハイジャッカーです。 この記事では、MyWallPap...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
28,869
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
22,661
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
21,818
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...