Сетевой червь распространяет бесфайловую версию njRAT

28 ноября 2018 г., среда

Зловред копирует себя на все внешние накопители и запускает в памяти компьютера PowerShell-скрипт для кражи данных.

Обновленный вариант зловреда njRAT обнаружили исследователи компании TrendMicro. Бэкдор доставляет в целевую систему сетевой червь, который копирует дроппер на все съемные накопители, подключенные к компьютеру. Программа использует бесфайловый метод заражения, разворачивая полезную нагрузку непосредственно в памяти устройства. Троян способен выполнять любые файлы, полученные с командного сервера, управлять списком процессов, похищать пароли из браузера и перехватывать вводимую на клавиатуре информацию.

Как выяснили аналитики, установщик вредоносной программы — это исполняемый файл, созданный при помощи компилятора AutoIt, скриптового языка, предназначенного для автоматизации повторяющихся операций в Windows. Сетевой червь и полезная нагрузка доставляются на компьютер как один объект, что затрудняет обнаружение трояна антивирусными программами.

Попав в целевую систему, зловред копирует себя на все внешние накопители, подключенные к компьютеру, и создает в реестре автозапуска новую запись для выполнения PowerShell-скрипта с бэкдором. Злоумышленники используют технику зеркальной загрузки (reflective loading), чтобы не оставлять следов на жестком диске и скрытно разместить троян в памяти устройства. Основной модуль njRAT создан на основе фреймворка .NET, а его исходный код обфусцирован.

После установки бэкдор добавляет PowerShell в список разрешенных программ брандмауэра Windows и устанавливает связь с командным сервером. Как выяснили исследователи, злоумышленники используют собственный DNS-хост, что позволяет им при необходимости скрывать или изменять IP-адрес центра управления. Вредоносная программа способна хранить похищенную информацию в памяти инфицированного компьютера, используя переменную tcpClient_0 в качестве HTTP-сервера, однако по умолчанию отправляет все данные напрямую киберпреступникам.

Весной этого года аналитики компании Zscaler исследовали одну из модификаций njRAT и выяснили, что зловред научился шифровать файлы на зараженном компьютере, а также красть цифровую валюту из кошельков жертвы. Специалисты TrendMicro не сообщают о таких функциях в бесфайловой версии трояна — возможно, авторы решили поддерживать два варианта вредоносной программы.

Threatpost