E安全1月18日讯,据外媒报道,近日,思科Talos的网络安全研究人员发现了一种新型远程控制木马JhoneRAT。一旦下载,RAT就会在受害者的计算机上收集信息,并且还能够下载其他有效载荷。
据了解,该木马通过检查被感染系统的键盘布局来筛选目标,并尝试通过滥用云服务来避免被列入黑名单。 近期该木马正频繁针对中东地区,包括沙特阿拉伯、伊拉克、埃及、利比亚、阿尔及利亚、摩洛哥、突尼斯、阿曼、也门、叙利亚、阿联酋、科威特、巴林和黎巴嫩。
JhoneRAT是用Python编写的,主要通过恶意Microsoft Office文档传播,功能多样,包括:
截屏功能,并将结果上传到ImgBB;
从Google云端硬盘下载伪装成图片,且末尾附加了base64编码的二进制文件并执行;
执行命令并将输出发送到Google Forms等。
该木马一旦被部署,就会立即开始从受害者的计算机中收集信息,包括类型、磁盘序列号、使用的操作系统等。
该木马还使用了三种不同的云服务来执行其所有命令和控制(C2)活动,使用BeautifulSoup HTML解析器每10秒检查一次@ jhone87438316账户句柄中的推文内是否有新命令,这些命令可以根据UID信息发送给特定的受害者,但目前该账户已被Twitter停用。
研究人员表示,该活动从2019年11月就开始,目前仍在进行中。
CONTACT US