Анализ новой модификации njRAT, проведенный в Zscaler, показал, что этот давно известный RAT-троян научился шифровать файлы и красть биткойны из кошельков жертв заражения.

Обширное семейство троянских программ njRAT, оно же Bladabindi, известно как минимум с 2013 года. Основным назначением этих зловредов, написанных на .NET, является обеспечение удаленного контроля над зараженным компьютером Windows.

По данным Zscaler, новая итерация, именуемая njRAT Lime Edition, способна выполнять ранее не свойственные этим зловредам функции: шифровать файлы и требовать выкуп, отслеживать операции с криптовалютой, проводить DDoS-атаки типа Slowloris и ARME (Apache remote memory exhaustion).

Как показал анализ, обновленный njRAT пытается зашифровать файлы в Windows-папках LocalApplicationData, ApplicationData, ProgramFiles, Desktop, Favorites, MyMusic, MyPictures и Recent («Недавние документы»). Для этого на машине жертвы генерируется ключ AES-256; по окончании процесса, запущенного по команде, к имени зашифрованных файлов добавляется расширение .lime. Поскольку зловред использует симметричный алгоритм, расшифровка осуществляется тем же ключом; как оказалось, njRAT способен сам расшифровать все полоненные файлы.

Куплю-продажу биткойнов и соответствующие платежи новобранец отслеживает, используя список запущенных процессов. Обнаружив цель, троян пытается с ее помощью выявить криптокошелек, к которому жертва обращается для проведения транзакции. Поскольку такие кошельки хранят криптовалюту и могут быть привязаны к банковским картам или аккаунтам, они представляют большой интерес для злоумышленников.

DDoS-атаки njRAT проводит, получив соответствующую команду с C&C-сервера. Маломощные атаки Slowloris нацелены на истощение ресурсов путем удержания открытых соединений на сервере. Такие неспешные DDoS уровня приложений можно проводить с одной-единственной машины. Целью удаленных атак ARME является истощение памяти на сервере Apache; в свое время авторы подобных атак применяли эксплойт к уязвимости CVE-2011-3192 в HTTP-серверах Apache, позволявший вызвать отказ в обслуживании.

Зловред njRAT Lime умеет также регистрировать нажатия клавиш, воровать пароли, удалять из Chrome куки-файлы и сохраненные учетные данные, отключать монитор, зачитывать вслух полученные с C&C тексты (с помощью функции TextToSpeech), активировать Диспетчер задач, менять обои на рабочем столе, скачивать и выкладывать файлы с помощью торрент-клиента. Кроме того, он способен распространяться через USB-накопители, отслеживая их подключение к зараженной машине. Копируя себя на флешку, RAТ-троян создает короткий путь к этой копии и соответствующую иконку.

Для обмена с центром управления njRAT Lime использует динамический DNS-сервис и кастомный протокол TCP. Этот зловред собирает и отправляет на C&C большой объем информации, куда входит имя системы, имя пользователя, версия Windows и используемая архитектура, наличие веб-камеры, текущее окно, ЦП, видеокарта, объем памяти, установленный антивирус, время заражения.

Новый вариант njRAT также снабжен богатым набором средств защиты от обнаружения и анализа. Он умеет отслеживать запуск в виртуальной машине и песочнице, используя стандартные запросы WMI. Помимо этого, зловред мониторит запущенные процессы и, обнаружив имя, грозящее ему раскрытием (Process Explorer,  Wireshark, taskmgr, Virustotal, SmartSniff и т. п.), пытается принудительно завершить этот процесс.

Категории: Аналитика, Вредоносные программы