njRAT actualizado para impulsar Lime Ransomware y un ladrón de billeteras Bitcoin

Share this…

El njRAT, también conocido como Bladabindi, se ha actualizado para impulsar Lime Ransomware y un ladrón de billeteras Bitcoin.

Según una publicación de blog de Zscaler, este troyano fue detectado por primera vez en 2013 y sigue siendo una de las familias de malware más prevalentes que utilizan múltiples herramientas de ofuscación de .NET que dificultan la detección de soluciones antivirus y dificultan el análisis de los investigadores de seguridad de la información.

El malware se desarrolló utilizando el framework Microsoft .NET y utiliza múltiples herramientas de ofuscación .NET para dificultar la detección de soluciones antivirus y obstaculizar el análisis de los investigadores de seguridad.

rattttt.jpg

El malware también usa DNS dinámico para servidores de comando y control (C2) y se comunica usando un protocolo TCP personalizado sobre un puerto configurable que dice el blog.

Deepen Desai, director sénior de investigaciones y operaciones de seguridad de la información de Zscaler, dijo a la fuente que el malware no está claro, pero que los investigadores saben que la carga está siendo servida desde un servidor en Australia que aloja un sitio comprometido.

El setenta por ciento de los usuarios afectados se encontraban en América del Sur, mientras que el 30 por ciento restante se encontraba en América del Norte. La nueva variante RAT agregó características de robo de ransomware y billetera Bitcoin que parecen contradecirse en la práctica.

“Este es un desarrollo interesante, especialmente la característica ransomware, dado que las RAT por naturaleza operan en sigilo”, dijo Desai. “Ransomware por otro lado revelará la infección”.

El profesional de la seguridad de la información agregó que el autor está tomando un atajo al robar carteras existentes, pero dijo que no le sorprendería que el autor también agregue soporte para extraer Bitcoin en el sistema comprometido en futuras variantes.

La variante njRAT tiene la capacidad de realizar ataques ARME y Slowloris DDoS.

Los investigadores de seguridad de la información describieron Slowloris como una herramienta de ataque diseñada para permitir que una sola máquina derribara un servidor con ancho de banda mínimo, envíe múltiples solicitudes HTTP parciales y mantenga abiertas muchas conexiones al servidor web de destino y las mantenga abiertas el mayor tiempo posible.

“El malware también tiene una funcionalidad WORM para propagarse a través de USB que enumera los archivos y las carpetas en el disco duro”, dijeron los analistas en la publicación. “Una vez que detecta la unidad USB insertada en el sistema, se copia en la unidad USB y crea un acceso directo usando el icono de la carpeta”.

Según la recomendación de los profesionales de la seguridad de la información, la mejor forma de prevenir infecciones es que el usuario siga las mejores prácticas de seguridad estándar cuando maneja correos electrónicos de fuentes externas, ya que se sabe que el malware se propaga a través de enlaces maliciosos de correo electrónico.