Trojan njRAT z nowymi funkcjami: kradzież bitcoinów, okupy i ddos

Powszechnie wiadomo, że przestępcy wykorzystują w swoich działaniach tzw. backdoory. Niezbędne do tego celu narzędzia są bardzo łatwo dostepne, co również nikogo nie dziwi. Jednak niezmiennie zadziwiającym pozostaje, z jaką łatwością można otrzymać niemalże „spersonalizowane” złośliwe oprogramowanie. njRAT jest tego przykładem. 

Zmodyfikowany koń trojański

njRAT to koń trojański (RAT to skrót od narzędzia zdalnego dostępu) zawierający wiele funkcjonalności. Pozwalają one na przeprowadzenie dokładnego rozpoznania zainfekowanego systemu. Wystarczy, by przestępca stworzył odpowiednie oprogramowanie (określane również mianem „payload”) i przekonał ofiarę do jego uruchomienia na swoim urządzeniu.  Wystarczy kilka kliknięć, by dodać wszystkie dostępne funkcje. Co istotne, każde dostępne działanie musi zostać ręcznie uruchomione przez atakującego.

Gdy tylko ofiara uruchomi na swoim komputerze plik “podrzucony” mu przez przestępcę, atakujący ma praktycznie całkowicie wolną rękę: może zmusić komputer do wejścia na pewne strony internetowe (które mogą być kolejnym źródłem złośliwego oprogramowania), możliwy jest również pełny dostęp do struktury katalogów systemu. Złośliwe oprogramowanie może także rozprzestrzeniać się poprzez dyski USB – wszystko zależy od decyzji atakującego. To z kolei ułatwia cyberprzestępcy stworzenie backdoora w ramach firmowej sieci. Ta opcja pokazuje, jak ważne jest kontrolowanie korzystania z tego typu urządzeń w celu zapobiegania przypadkowemu bądź celowemu otwarciu dostępu do firmowej sieci.

Lime Edition

Najnowsza wersja trojana, nazwana „Lime Edition”, została wyposażona w dodatkowe funkcje. Prawdopodobnie w odpowiedzi na aktualne zamieszanie wokół kryptowalut, część programu stanowi obecnie grabber Bitcoinów. Jedna z funkcji umożliwia również osobie kontrolującej wykorzystanie wszystkich zainfekowanych urządzeń do przeprowadzenia ataku DDoS na konkretny system (np. serwer web). Wystarczy kilka kliknięć, by przechwycone sprzęty „zaatakowały” dane urządzenie docelowe żądaniami odpowiedzi do momentu, aż przestanie ono odpowiadać. Ponadto nowe narzędzie zawiera moduł złośliwego oprogramowania typu ransomware, który umożliwił przestępcom szyfrowanie systemu na odległość oraz wysyłanie żądania okupu. Zaszyfrowane pliki mają rozszerzenie *.Lime. Prawdziwy kombajn.

Klienci G DATA są chronieni na kilka sposobów:

Złośliwe oprogramowanie tworzone z wykorzystaniem narzędzia njRAT jest wykrywane przez wszystkie rozwiązania G DATA jako „Win32.Malware.Bucaspys.A“. Moduł AntiRansomware blokuje wszelką aktywność złośliwego oprogramowania odpowiadająca za szyfrowanie. Użytkownicy mogą zatem spać spokojnie. W sieciach korporacyjnych, gdzie wykorzystuje się G DATA EndpointProtection, nie ma możliwości, by złośliwe oprogramowanie tego typu przedostało się do sieci, jeśli pamięci USB i tym podobne nośniki podlegają kontroli narzędzia PolicyManager.

Informacja dla innych badaczy:

Próbka: 4d064b89d45bffe4a1bb0b4d12abf926ed760cecc6868bc38f6f35f54b53787a

Adres BTC: 3AUEcSDVuECH6iB4uTwFyUVHv73z2JitTD

Michał Łabęcki | P.o. Kierownika marketingu

Michał Łabęcki
P.o. kierownika marketingu
E-mail: [email protected]

Przeczytaj również ...