محققان درباره بدافزارهای پیشرفته جدید بنام "JhoneRAT" هشدار می دهند * خرید VPNvip خرید VPN خرید کریو خرید kerio فیلتر شکن خرید فیلترشکن vip vpn

rat "title =" rat "/> </div>
<ul>
<li><strong> یک بدافزار جدید به نام JhoneRAT در حال آلوده کردن رایانه های عربی است و اطلاعات مهم را سرقت می کند. </strong></li>
<li><strong> این کمپین از چندین بارگذاری و سرویس های Cloud استفاده می کند تا از شناسایی جلوگیری کند. </strong></li>
<li><strong> JhoneRAT شناسایی بویژه دشوار است زیرا در VMs کار نمی کند و با بقیه ترافیک شبکه مخلوط می شود. </strong></li>
</ul>
<p> یک تروجان جدید دسترسی از راه دور (RAT) در خاورمیانه ظاهر شده است ، که اطلاعات مربوط به قربانیان آن را دزدیده و اطلاعات اضافی را بارگیری می کند. بارها را طبق نیاز "JhoneRAT" لقب دهید ، از نوامبر 2019 شروع شده است و عمدتا کاربران عربی زبان را هدف قرار می دهد (با بررسی طرح صفحه کلید) برای جلوگیری از کشف آن ، بازیگران JhoneRAT را با ویژگی هایی که مجهز است ، مجهز کرده اند. علاوه بر این ، بدافزار جدید از ابتدا نوشته شده است ، بنابراین هیچ یک از کدهای شناخته شده ای را که می توان در اکثر ابزارهای تبلیغاتی شناسایی و پرچم گذاری کرد ، استفاده نمی کند. </p>
<figure id=

مکان "width =" 1000 "height =" 492 "data-srcset =" http://madahi72.ir/wp-content/uploads/2020/01/1579435089_439_محققان-درباره-بدافزارهای-پیشرفته-جدی.jpg 1000w، https: //cdn.technadu. com / wp-content / uploads / 2020/01 / location-300x148.jpg 300w، https://cdn.technadu.com/wp-content/uploads/2020/01/location-768x378.jpg 768w، https:// cdn.technadu.com/wp-content/uploads/2020/01/location-200x98.jpg 200w، https://cdn.technadu.com/wp-content/uploads/2020/01/locatio n-533x261.jpg 533w، https://cdn.technadu.com/wp-content/uploads/2020/01/location-696x342.jpg 696w، https://cdn.technadu.com/wp-content/uploads/ 2020/01 / location-854x420.jpg 854w "size =" (حداکثر عرض: 1000px) 100vw ، 1000px "/>

<figcaption id=

منبع: بلاگ سیسکو تالوس

طبق گفته محققان سیسکو تالوس که دنباله های مربوطه این عفونت از طریق یک سند مخرب که در Google Drive میزبان است انجام می شود. این یک روش عالی برای جلوگیری از لیست سیاه URL و ایجاد اولین لایحه مشروعیت است. این سند حاوی یک ماکرو است که بارهای اضافی را از Google Drive بارگیری می کند. درمورد نام پرونده خطرناک ، یکی "Urgent.docx" و دیگری "fb.docx" است. احتمالاً موارد دیگری نیز وجود خواهد داشت و خواهد بود ، بنابراین چک کردن نامها به تنهایی شما را نجات نمی دهد. هرچند امکان ایجاد ماکرو در مجموعه دفتر شما وجود ندارد و پرونده های تصادفی نیز باز نمی شوند.

سند" عرض = "696 "height =" 427 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/01/doc ument-1024x628.png 1024w، https://cdn.technadu.com/wp-content/uploads/2020/01/document-300x184.png 300w، https://cdn.technadu.com/wp-content/uploads/ 2020/01 / document-768x471.png 768w، https://cdn.technadu.com/wp-content/uploads/2020/01/document-1536x943.png 1536w، https://cdn.technadu.com/wp- محتوا / آپلودها / 2020/01 / document-200x123.png 200w ، https://cdn.technadu.com/wp-content/uploads/2020/01/document-696x427.png 696w ، https://cdn.technadu. com / wp-content / uploads / 2020/01 / document-1068x655.png 1068w، https://cdn.technadu.com/wp-content/uploads/2020/01/document-684x420.png 684w، https:// cdn.technadu.com/wp-content/uploads/2020/01/document.png 1600w "size =" (حداکثر عرض: 696px) 100vw ، 696px "/>

<figcaption id=

وقتی ماکرو اجرا می شود ، بار دوم را دریافت می کند که یک پرونده تصویری است که در Google Drive میزبان است. تصویر حاوی باینری رمزگذاری شده با پایه پایه 64 است ، بنابراین ترفند استگانوگرافی در این کمپین وجود دارد. پس از باز شدن ، یک باینری دیگر (AutoIT) دوباره از Google Drive بارگیری می شود ، و در آخر ، بار چهارم payload که JhoneRAT است از سه سرویس ابری مختلف بارگیری و اجرا می شود (بستگی به دستورات C2). RAT می تواند سه کار انجام دهد. در مرحله اول ، می تواند یک عکس از صفحه گرفته و آن را در ImgBB بارگذاری کند. ثانیا ، می تواند باینری های اضافی را بارگیری کرده و آنها را اجرا کند. و سوم ، می تواند دستورات را اجرا کند و خروجی را به فرم های Google ارسال کند.

image20" width = "614" height = "351" data-srcset = "https: //cdn.technadu.com/wp-content/uploads/2020/01/image20.png 614w، https://cdn.technadu.com/wp-content/uploads/2020/01/image20-300x171.png 300w، https://cdn.technadu.com/wp-content/uploads/2020/01/image20-200x114.png 200w "size =" (حداکثر عرض: 614px) 100vw ، 614px "/>

<figcaption id=

این یک کمپین نسبتاً پیشرفته است که به دلیل استفاده از ارائه دهندگان سرویس Cloud ، و همچنین ویژگی های ضد آنالیز و ضد VM که در آن گنجانده شده است ، تشخیص و متوقف کردن دشوار است. اگر قبل از باز کردن از VM یا هر sandbox برای آزمایش اسناد استفاده می کنید ، باید اطمینان حاصل کنید که سیستم عامل مجازی از یک صفحه کلید استفاده می کند که با یکی از کشورهایی که در بالا گفته شد مطابقت دارد. علاوه بر این ، همچنین باید اطمینان حاصل کنید که یک سریال دیسک معتبر وجود دارد که به درایو مجازی اختصاص داده شده است. اگر این پیش شرط ها برآورده نشود ، این بدافزار از خواب می ماند.