JhoneRAT, 1 nouveau malware cible le Moyen-Orient

Des chercheurs ont signalé un nouveau trojan RAT, nommé JhoneRAT, qui est actif depuis Novembre 2019. Il semble cibler des victimes au Moyen-Orient. Une fois qu’il est téléchargé, le RAT rassemble des informations sur les systèmes de la victime et peut aussi télécharger des payloads.

Les responsables de JhoneRAT ont pris des mesures spéciales pour s’assurer que le RAT soit distribué à des victimes arabophones. Les chercheurs ont remarqué que les pirates ont aussi utilisé plusieurs services de cloud, tels que Google Drive et Google Forms, dans le processus d’infection du payload.

“Cette campagne montre un acteur qui a développé un RAT fait maison qui fonctionne à de multiples couches hébergées sur le fournisseurs cloud,” ont déclaré les chercheurs de Cisco Talos dans leur analyse. “JhoneRAT est développé en Python mais n’est pas basé sur du code source public, comme il est souvent le cas pour ce type de malware. Les pirates font énormément d’efforts pour sélectionner la localisation des cibles dans des pays spécifiques en se basant sur le clavier de la victime.”

Le RAT se propage via des documents Microsoft Office malveillants.

Les chercheurs ont identifié trois documents malveillants distribuant JhoneRAT: le plus vieux (Novembre 2019) s’appelle “Urgent.docx”. Le second document est sorti au début du mois de Janvier 2020 et se nomme “fb.docx”, il contient des noms d’utilisateurs et des mots de passe venant d’une fuite de “Facebook”. Le dernier document est apparu au milieu du mois de Janvier 2020. L’auteur a rendu flou le contenu du document et demande à la victime d’activer la modification pour voir le contenu.

jhonerat

Une fois que l’utilisateur ouvre le document ou active la modification, les documents malveillants téléchargent un autre document Office depuis Google Drive avec une Macro intégrée.

Ce qui est intéressant c’est que les pirates utilisent plusieurs services de cloud (Google Drive, Twitter, et Google Forms) pour télécharger le payload. Ce n’est pas la première fois que des pirates utilisent des plateformes de cloud de cette façon, c’est une technique qui permet de ne pas se faire détecter.

“C’est compliqué pour les cibles de différencier le trafic légitime du trafic malveillant quand il vient d’une infrastructure de cloud,” ont expliqué les chercheurs. “De plus, ce genre d’infrastructure utilise HTTPS et le flux est chiffré, cela rend les interceptions man-in-the-middle plus compliquées.”

Une fois que le document est téléchargé depuis Google Drive, une commande est exécuté pour télécharger une image depuis un nouveau lien Google Drive (avec un binaire encodé en base64 joint à la fin). Le nom de l’image est soit cartoon.jpg, img.jpg, ou photo.jpg, et l’image montre un cartoon quelconque, selon les chercheurs.

jhonerat

“Il est intéressant de noter que le nom de fichier de l’image téléchargé est généré au hasard avec un dictionnaire: Array (“cartoon,” “img,” “photo”),” ont relevé les chercheurs.

Une fois décodée, le binaire en base64 devient le binaire AutoIT, qui dépose un nouveau fichier sur Google Drive. Le fichier contient le dernier payload, JhoneRAT, qui se met en marche en lançant trois threads: le premier est chargé de vérifier si le système a le type de clavier qui est ciblé (pour vérifier si la victime parle Arabe), le second crée une persistance et le troisième lance le cycle principal du RAT.

Les données exfiltrées (comme les captures d’écran du système) sont envoyées via ImgBB, un service de partage et d’hébergement d’images. Les commandes sont aussi envoyées en postant des données sur Google Forms (une application de sondage qui est inclus dans la suite Google Drive) et les fichiers continuent d’être téléchargé dans Google Drive.

“Ce RAT utilise trois différent services de cloud pour effectuer toutes ses activités. Il vérifie l’existence de nouvelles commandes en jetant un œil aux tweets de @jhone87438316 (suspendu par Twitter) toutes les 10 secondes en utilisant l’analyseur BeautifulSoup HTML pour identifier les nouveaux tweets,” ont expliqué les chercheurs.

JhoneRAT sait se montrer discret

Le RAT utilise aussi des techniques pour éviter la détection, les machines virtuelles et les analyses. La macro contient une technique de détection de machine virtuel basé sur le numéro de série des disques disponibles dans l’environnement de la victime.

jhonerat

Les chercheurs affirment que la campagne est active.

“Pour le moment, la clé API a été révoqué et le compte Twitter est suspendu. Cependant, le pirate peut facilement créer de nouveaux comptes et mettre à jour les fichiers malveillants pour que la campagne continue de fonctionner. Cette campagne nous montre que la détection sur le réseau est importante mais qu’elle doit être accompagné de l’analyse du comportement du système,” ont déclaré les chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x