JhoneRAT es un nuevo malware que roba datos de países de habla árabe

Un nuevo RAT (caballo de Troya de acceso remoto) en uso se dirige a países específicos de habla árabe, aprovechando los documentos de Google Drive y Microsoft para evitar la detección. Además, su ejecución desde la nube directa, en lugar de la memoria interna, ayudó a esta nueva RAT a esconderse de los Sandboxes. Este malware es capaz de robar información y enviarla al atacante mediante formularios de Google.

JhoneRAT, como descrito por el descubridor Talos Intelligence Group de Cisco es solo otro ladrón de datos a través de su malware infeccioso. Aunque el objetivo parece común, su flujo de trabajo de infección es típico. Los creadores de esto utilizaron código fuente no abierto para desarrollar el dropper y el malware Python para RAT. Y la ejecución de descargar malware a través de la nube y evadir la señalización de una manera creativa lo ha hecho destacar.

Objetivo común con ejecución típica

JhoneRAT
JhoneRAT: nuevo software malicioso

El atacante primero elige objetivos, potencialmente usuarios de países de habla árabe por razones desconocidas a través de la distribución de sus teclados, y les envía documentos de Microsoft alojados en Google Drive. Esto los hace parecer legítimos, ya que la comunicación de Google en la nube está obviamente encriptada por defecto, lo que hace que el software antivirus ignore la señalización y, además, no detecte enlaces sospechosos.

Al abrir el documento, el atacante insta a la víctima a que abra el documento inicial Urgent.docx, que aún le pide a la víctima que habilite la edición para ver un documento borroso intencionalmente. Si bien este es el primer nivel de engaño, el siguiente documento como fb.docx contiene correos electrónicos y contraseñas para algunas cuentas filtradas en 2019.

El siguiente documento de Drive contiene una macro, que permite a un atacante ejecutar un comando WMIC para averiguar el número de serie de los discos de la víctima y, si no está disponible, el código ya no se ejecuta. Esto es para verificar la detección de VM y descargar una imagen de Drive nuevamente. La imagen es de una caricatura y su nombre de archivo se elige al azar de su diccionario.

Fuente de la imagen: https://blog.talosintelligence.com/

La imagen binaria codificada en base64, que conduce a la descarga definitiva del malware RAT que puede ejecutar los comandos del atacante y enviar datos a Google Forms. Esto evita la detección, creando todo su proceso en la nube y buscando documentos legítimos. Y finalmente, las naciones objetivo son de Arabia Saudita, Irak, Egipto, Libia, Argelia, Marruecos, Túnez, Omán, Yemen, Siria, Emiratos Árabes Unidos, Kuwait, Bahréin y Líbano.