La comunidad de seguridad ha informado de que la cal NjRat Edición de Troya recientemente se ha actualizado con un nuevo componente ransomware. El hecho de que esta herramienta de piratería es muy popular entre los delincuentes informáticos, tanto en los mercados de hackers subterráneos y las comunidades significa que es probable que los ataques van a ser lanzado con muy pronto. El próximo ataque anticipado puede llevar a cabo redes completas a nivel mundial. Esta es la razón por la que estamos tomando una mirada en profundidad en el NjRat cal Edición de Troya mediante el análisis de todas sus capacidades.
njRAT cal Edición de Troya general: Por qué eso importa
El NjRat cal Edición de Troya es un nuevo malware que recientemente ha sido identificado por la comunidad de seguridad. Lo que lo hace único entre muchos otros es el hecho de que incluso en sus primeros lanzamientos que incluye casi todos los módulos contenidos en las amenazas avanzadas. Los programadores detrás de él también se han publicado en el archivo ejecutable de forma gratuita en los sitios subterráneos. La última versión es 0.7.8 Hace a conocer pocos días.
Hemos sido capaces de obtener una copia de la amenaza a través de las fuentes peligrosas. Es interesante tener en cuenta que se está anunciando como una herramienta de hacking malicioso remoto, mientras que al mismo tiempo con el mensaje “Sólo para fines educativos”. La primera versión pública seguido por la comunidad (11/9/2017) es conocida 0.7.6. Esto hace que la última actualización sólo un punto de desenganche.
ADVERTENCIA! Hemos obtenido los archivos ejecutables y la documentación relacionada con la elaboración de este artículo sólo con fines educativos. No toleramos las operaciones de piratería y de malware.
Métodos de entrega NjRAT cal Edición de Troya
Dependiendo de las tácticas de hackers NjRAT la cal Edición de Troya se puede implementar utilizando diferentes tácticas. Una de las posibles formas de hacer las infecciones es a través de una descargador de carga útil. Esto puede lograrse mediante los siguientes métodos:
- Los mensajes de correo electrónico - Los operadores de malware pueden utilizar los robots para generar mensajes que facilitan plantillas con el objetivo de extorsionar a los usuarios descargar y ejecutar un archivo infectado cierta. Puede ser un archivo ejecutable, archivo o documento. En cualquier caso, una vez que se descarga y ejecuta la infección con el NjRAT cal Edición de Troya se inicia. En el caso de documentos de scripts de malware se pueden insertar en prácticamente todos los formatos utilizados: bases de datos, presentaciones, ricos documentos de texto y hojas de cálculo.
- descargas - casos infectados pueden ser colocados en portales de descarga y facilitadas a través de ventanas emergentes y las redirecciones web.
- Los secuestradores de navegador - plugins del navegador web peligrosos se pueden utilizar para instalar malware como este. Se hacen generalmente para las aplicaciones más populares: Mozilla Firefox, Google Chrome, Safari, Microsoft Edge, Internet Explorer y Opera.
NjRAT cal Edición de Troya fase de infección: ¿Cómo empieza todo
Una vez que la cal NjRAT Edición de Troya ha hecho su camino en los equipos host una de las primeras acciones que hace es comprobar el sistema para cualquier instancia de depuración o de seguridad que se ejecutan. Eficazmente la amenaza logra instalarse en una sigilo de manera mirando encima de las firmas de máquinas virtuales (VirtualBox y VMWware), entornos sandbox, utilidades de análisis de procesos (Process Explorer), Las herramientas de redes (Wireshark) y otro software de administración de sistemas (ApateDNS). Si no es capaz de eliminar o desactivar ellos, entonces el virus puede borrarse a sí mismo para evitar ser detectados.
Los analistas de seguridad han descubierto también que podría no poner en marcha inmediatamente después de la infección se ha hecho. Este “dormir” función se implementa orden n para engañar a los motores anti-virus, que presumen que un virus podría empezar a manipular el sistema tras la primera infección. El NjRAT cal Edición troyano también se ha encontrado para instituir una instalación persistente que impide eficazmente los métodos de eliminación de usuario manual de. Se monitoriza continuamente el comportamiento de los usuarios y desactiva todas las acciones que pueden interferir con los procesos.
Otras acciones que se invocan en esta primera etapa de la década de malware incluyen cambios en el sistema. Están hechos deliberadamente para preparar el sistema para las acciones de seguimiento de malware. Los ejemplos incluyen lo siguiente:
- La adición de un Cliente Hidden - El NjRAT cal Edición troyano crea un proceso oculto que no puede ser identificado fácilmente por el usuario o el administrador del sistema. Tiene la capacidad de crear otros nuevos, conectar a las aplicaciones existentes y modificar sus niveles de privilegio a voluntad.
- El malware Stoper - El código troyano puede identificar las infecciones existentes y asumir el control de ellos lo que significa que los hackers pueden manipular sus ajustes o incluso desactivar temporalmente los virus.
- adición Plugin - Los piratas informáticos que obtienen el código tienen la capacidad de ajustar aún más mediante la adición de complementos personalizados a la estructura modular.
- Ofuscación - Para evitar que el motor de detección de la infección y todos los archivos asociados pueden copiarse a sí mismas a una ubicación del sistema y ocultar sus nombres. También puede cambiar su extensión y el icono.
Capacidades NjRAT cal Edición de Troya
Una vez que todas las acciones básicas de infección tienen completar la NjRAT cal Edición de Troya el malware continúa más. El motor configura un cliente de red que permite a los piratas informáticos para controlar de forma remota los huéspedes infectados. Nuestro análisis muestra que la seguridad Vital, incluyendo opciones de energía como el apagado y reinicio. A través de comandos de Internet de los ordenadores pueden ser instruidos para llevar a cabo DDoS (denegación de servicio distribuido) ataques contra objetivos establecidos. Para facilitar la conectividad óptima los operadores pueden instruir a los clientes a dormir temporalmente a sí mismos o vuelva a conectar a ciertos intervalos. El troyano también puede infectar a los dispositivos USB y otros dispositivos de red.
La SIN IP servidor DNS dinámico se puede activar opcionalmente para permitir que la red de bots para ser administrado de una manera más eficiente. Es muy posible que un colectivo penal de alquilar la infraestructura de software malicioso creado para otros hackers. Por otro lado ya que los anfitriones de computadoras están colocados en el control total del código de Troya los usuarios maliciosos pueden establecer ajustes de broma similar a como: reversión del ratón, salpicar el contenido del portapapeles, modificación de la barra de tareas, girar el monitor encendido y apagado y generar mensaje de audio a través de texto del sistema operativo al motor del discurso. Los componentes importantes del sistema operativo se pueden desactivar o incluso eliminan (Administrador de tareas y visor de eventos), así como los archivos de registro removidos.
Mediante el secuestro de la configuración regional del sistema y la configuración de usuario a los criminales pueden tener una idea de su ubicación. Además unas bases de datos geográficos públicos se alimenta la dirección IP y todos los demás valores pertinentes para ayudar a localizar a las víctimas a una ubicación más precisa. Cuando se trata de recolección de información que hay dos categorías principales que se pueden diferenciar:
- Información de identificación personal - Los datos recogidos pueden exponer directamente la identidad del usuario por la recolección de datos, como su nombre real, dirección, teléfono, intereses, preferencias y etc..
- datos del sistema - El NjRAT cal Edición de Troya tiene la capacidad de extraer una gran cantidad de información sensible desde el ordenador host, incluyendo componentes de hardware disponibles, aplicaciones de software instaladas y etc..
Nuestro análisis muestra que otro posible escenario de caso de uso es una sembradora torrente. Los hackers pueden tomar ventaja de la conexión de espacio en disco y disco duro de red disponibles para sembrar torrentes que genera relación (clasificación) por sus cuentas en los rastreadores de torrente vinculados. En muchos casos, el contenido es ilegal (pirata) materiales.
Ransomware motor de la cal NjRAT Edición de Troya Exposed
La última versión del software malicioso incluye ahora un componente ransomware. Los piratas informáticos detrás de él han incluido opciones de personalización profundas que son comparables a las cepas avanzadas de las familias más famosas de malware. En una entrega por etapas el componente ransomware se puede iniciar después de otras acciones de malware tiene completa. Esto es especialmente cierto si los hackers quieren descargar los datos de usuario, tendría que ser hecho antes de activar la fase de cifrado.
El ransomware en sí puede utilizar una lista personalizada de extensiones de tipos de archivo de destino. Por lo general, los hackers tienden a incluir los datos más utilizados tales como cualesquiera de los archivos que se encuentran, Las copias de seguridad, documentos, imágenes, música, vídeos, archivos de configuración y etc.. La estructura modular permite a los hackers para incluir incluso una lista blanca y lista de negro. La prohibición de determinadas carpetas suele estar relacionado con las carpetas del sistema que puede causar problemas con los ordenadores si se modifican sus archivos.
Una vez que el proceso ha terminado de ransomware una extensión especialista puede ser añadido a los archivos de la víctima para identificar fácilmente. Otros métodos que se pueden utilizar para chantajear a los usuarios a pagar los operadores de piratas informáticos pueden ser los siguientes:
- Cambiar imagen de fondo - Los piratas informáticos pueden instituir un cambio de fondo de pantalla que puede mostrar una parte de la nota ransomware.
- Nota ransomware - notas ransomware por lo general están hechas en archivos de texto o documentos ricos que utilizan tácticas de chantaje que intentan manipular a las víctimas en el pago de los piratas informáticos a pagar una “cuota de descifrado”.
- LockScreen Instancia - Un marco de aplicación puede ser instituido en el ordenador de la víctima, que bloquea eficazmente la interacción normal hasta que la amenaza ha sido completamente eliminado.
Consecuencias de una infección NjRAT cal Edición de Troya
Teniendo esto en mente las capacidades generales de los NjRAT cal Edición de Troya permiten un control prácticamente ilimitado de las máquinas host. Si el colectivo penal logra infectar un número suficientemente grande de huéspedes infectados a continuación una red de bots se puede crear. La interfaz gráfica de usuario que es utilizado por los operadores les permite iniciar fácilmente los comandos más utilizados. La lista completa extraído de una muestra en vivo lee las siguientes entradas:
- Gerente - Permite a los piratas informáticos para recibir una visión general del huésped infectado.
- archivo ejecutar - Se ejecuta un archivo de destino en el equipo host.
- Escritorio remoto - Inicia el módulo de espionaje que muestra la pantalla de los usuarios y sus acciones en tiempo real.
- Micrófono - Se registra el micrófono de la víctima y envía los archivos de audio a los operadores de hackers.
- El malware Killer - Desactiva encuentra malware a través de una exploración de la firma.
- Keylogger - secuestra pulsaciones del teclado y del ratón movimiento.
- Persistencia - Se instala la NjRAT cal Edición de Troya de una manera que impide los intentos de eliminación manual de usuario.
- Conversación abierta - Permite a los piratas informáticos para crear mensajes a las víctimas que aparecen como ventana de la aplicación las ventanas emergentes.
- spread USB - Infecta dispositivos de almacenamiento extraíbles conectados.
- Ordenador personal - Recupera archivos de las computadoras comprometidas.
- Cliente - Abre las preferencias del cliente.
- Carpeta abierta - Permitir el acceso a unidades locales del huésped infectado.
Los usuarios pueden protegerse mediante el uso de una solución de calidad anti-spyware. Se recomienda que todos los usuarios escanear sus sistemas tan pronto como sea posible.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter