新型恶意软件JhoneRAT现身 频繁针对中东地区

发布者: 发布时间:2020-01-19

E安全1月18日讯,据外媒报道,近日,思科Talos的网络安全研究人员发现了一种新型远程控制木马JhoneRAT。一旦下载,RAT就会在受害者的计算机上收集信息,并且还能够下载其他有效载荷。


据了解,该木马通过检查被感染系统的键盘布局来筛选目标,并尝试通过滥用云服务来避免被列入黑名单。 近期该木马正频繁针对中东地区,包括沙特阿拉伯、伊拉克、埃及、利比亚、阿尔及利亚、摩洛哥、突尼斯、阿曼、也门、叙利亚、阿联酋、科威特、巴林和黎巴嫩。

01.webp.jpg

JhoneRAT是用Python编写的,主要通过恶意Microsoft Office文档传播,功能多样,包括:

  • 截屏功能,并将结果上传到ImgBB;

  • 从Google云端硬盘下载伪装成图片,且末尾附加了base64编码的二进制文件并执行;

  • 执行命令并将输出发送到Google Forms等。


该木马一旦被部署,就会立即开始从受害者的计算机中收集信息,包括类型、磁盘序列号、使用的操作系统等。 

02.webp.jpg

该木马还使用了三种不同的云服务来执行其所有命令和控制(C2)活动,使用BeautifulSoup HTML解析器每10秒检查一次@ jhone87438316账户句柄中的推文内是否有新命令,这些命令可以根据UID信息发送给特定的受害者,但目前该账户已被Twitter停用。

 

研究人员表示,该活动从2019年11月就开始,目前仍在进行中。


联系我们

CONTACT US

在线留言
公司位置