La communauté de sécurité a rapporté que le NjRat Lime édition cheval de Troie a récemment été mis à jour avec un nouveau composant ransomware. Le fait que cet outil de piratage est populaire parmi les criminels informatiques à la fois sur les marchés des pirates informatiques souterrains et les communautés signifie qu'il est probable que les attaques vont être lancées avec très bientôt. L'attaque à venir prévu peut prendre l'ensemble des réseaux au niveau mondial. Ceci est la raison pour laquelle nous prenons un en analysant l'ensemble de ses capacités en profondeur dans le regard NjRat Lime Édition cheval de Troie.
njRAT Lime Édition cheval de Troie Vue d'ensemble: En quoi est-ce important
Le NjRat Lime édition de Troie est un nouveau malware qui a été récemment identifié par la communauté de sécurité. Ce qui le rend unique parmi beaucoup d'autres est le fait que même dans ses premières versions il comprend presque tous les modules contenus dans les menaces avancées. Les programmeurs derrière elle ont également affiché le fichier exécutable gratuitement sur les sites souterrains. La dernière version est 0.7.8 publié il y a quelques jours.
Nous avons été en mesure d'obtenir une copie de la menace par les sources dangereuses. Son intéressant de noter qu'il est présenté comme un outil de piratage informatique à distance des programmes malveillants tout en même temps portant la mention “Pour un usage éducatif seulement”. La première version de diffusion publique suivis par la communauté (11/9/2017) est connu 0.7.6. Cela rend la dernière mise à jour uniquement une version intermédiaire de.
AVERTISSEMENT! Nous avons obtenu les fichiers exécutables et la documentation connexe pour préparer cet article à des fins d'éducation seulement. Nous ne tolérons pas les opérations de piratage et les logiciels malveillants.
NjRAT Lime Édition Méthodes de livraison Trojan
Selon les tactiques de piratage de la NjRAT Lime édition cheval de Troie peut être déployé en utilisant différentes tactiques. L'une des façons de faire les infections est par un téléchargeur de charge utile. Ceci peut être réalisé en utilisant les méthodes suivantes:
- Courriels - Les opérateurs de logiciels malveillants peuvent utiliser des robots pour générer des messages qui facilitent les modèles visant à faire du chantage aux utilisateurs de télécharger et d'exécuter un certain fichier infecté. Il peut être un fichier exécutable, archives ou d'un document. Quel que soit le cas, une fois qu'il est téléchargé et exécuté l'infection par le NjRAT Lime édition cheval de Troie est lancé. Dans le cas des documents de scripts malveillants peuvent être insérés dans pratiquement tous les formats largement utilisés: bases de données, présentations, riches documents texte et des feuilles de calcul.
- Téléchargements - les cas infectés peuvent être placés sur les portails de téléchargement et facilitées par les pop-ups et les redirections web.
- pirates de navigateur - plugins de navigateur Web dangereux peuvent être utilisés pour installer des logiciels malveillants comme celui-ci. Ils sont généralement faits pour les applications les plus populaires: Mozilla Firefox, Google Chrome, Safari, Microsoft bord, Internet Explorer et Opera.
NjRAT Lime Édition cheval de Troie Phase d'infection: Comment tout commence
Une fois que le NjRAT Lime Édition cheval de Troie a fait son chemin sur les ordinateurs hôtes une des premières actions qu'il fait est de vérifier le système pour tout débogage en cours d'exécution ou des instances de sécurité. En effet la menace parvient à s'installer dans un furtif manière en regardant les signatures de machines virtuelles (VirtualBox et vmwware), environnements de bac à sable, utilitaires d'analyse de processus (Process Explorer), outils de réseautage (Wireshark) et d'autres logiciels d'administration système (ApateDNS). Si elle est incapable de supprimer ou de les désactiver ensuite le virus peut se supprimer pour éviter la détection.
Les analystes de sécurité ont également découvert qu'il pourrait ne pas lancer immédiatement après l'infection a été. Ce “dormir” fonction est implémentée n pour tromper les moteurs anti-virus qui présumons qu'un virus commencerait à manipuler le système lors de la première infection. Le NjRAT Lime édition cheval de Troie a également été trouvé pour instituer une l'installation persistante ce qui empêche efficacement les méthodes d'élimination de manuel utilisateur. Il surveille en permanence le comportement des utilisateurs et désactive toutes les actions qui peuvent interférer avec ses processus.
D'autres actions qui sont invoquées dans cette première étape des logiciels malveillants incluent des changements de système. Ils sont délibérément faits pour préparer le système pour les actions de suivi des logiciels malveillants. Voici quelques exemples:
- L'ajout d'un client caché - Le NjRAT Lime édition cheval de Troie crée un processus caché qui ne peut pas être facilement identifié par l'utilisateur ou l'administrateur système. Il a la capacité de créer de nouveaux, brancher aux applications existantes et modifier à volonté ses niveaux de privilèges.
- Malware Stoper - Le code cheval de Troie peut identifier les infections existantes et de prendre le contrôle d'entre eux qui signifie que les pirates peuvent manipuler leurs paramètres ou même désactiver temporairement les virus.
- Ajout Plugin - Les pirates qui obtiennent le code ont la possibilité de modifier plus en ajoutant des plugins personnalisés dans le cadre modulaire.
- obfuscation - Pour éviter la détection du moteur d'infection et tous les fichiers associés peuvent se copier dans un emplacement du système et leurs noms obfusquer. Il peut également modifier son extension et l'icône.
Capacités NjRAT Lime édition Trojan
Une fois que toutes les actions d'infection de base ont compléter le NjRAT Lime édition cheval de Troie le malware continue plus. Le moteur met en place un client réseau qui permet aux pirates de contrôler à distance les hôtes infectés. Notre analyse de sécurité montre que cela inclut même des options d'alimentation telles que l'arrêt et le redémarrage. Grâce à des commandes Internet les ordinateurs peuvent être chargés d'effectuer DDOS (déni de service distribué) attaques contre des cibles fixées. Pour faciliter la connectivité optimale, les opérateurs peuvent demander aux clients de se reconnecter dormir temporairement ou à certains intervalles. Le cheval de Troie peut également infecter les périphériques USB et autres périphériques réseau.
Une PAS D'IP serveur DNS dynamique peut éventuellement être activé pour permettre au réseau de robots à être administré d'une manière plus efficace. Il est possible pour un collectif criminel de louer l'infrastructure des logiciels malveillants créés pour d'autres pirates. D'autre part, comme les ordinateurs hôtes sont placés dans le contrôle total du code de Troie les utilisateurs malveillants peuvent instituer des paramètres comme polisson tels que: inversion souris, barboter avec le contenu du presse-papiers, modification de la barre des tâches, tourner le moniteur sous et hors tension et de générer un message audio via le texte du système d'exploitation moteur de synthèse vocale. Des éléments importants du système d'exploitation peuvent être désactivées ou même supprimés (Gestionnaire des tâches et l'Observateur d'événements), ainsi que tous les fichiers journaux supprimés.
En détournant les paramètres régionaux du système et la configuration de l'utilisateur les criminels peuvent avoir une idée de leur emplacement. En outre, une base de données géographiques publiques est alimenté l'adresse IP et toutes les autres valeurs pertinentes pour aider à localiser les victimes à un endroit plus précis. En ce qui concerne la récolte de l'information, il existe deux catégories principales qui peuvent être différenciées:
- Informations personnelles identifiables - Les données recueillies peuvent exposer directement l'identité de l'utilisateur en récoltant des informations telles que leur vrai nom, adresse, téléphone, intérêts, préférences et etc.
- Data System - Le NjRAT Lime Édition cheval de Troie a la capacité d'extraire beaucoup d'informations sensibles de l'ordinateur hôte, y compris les composants matériels disponibles, applications logicielles installées et etc.
Notre analyse montre qu'un autre scénario possible de cas d'utilisation est un torrent semeuse. Les pirates peuvent tirer profit de l'espace et de la connexion réseau disque dur disponible pour ensemencer flots qui génère le rapport (évaluation) pour leurs comptes sur les trackers torrent liés. Dans de nombreux cas, le contenu est illégal (pirate) matériaux.
Le moteur de NjRAT Lime édition Trojan Ransomware Exposed
La dernière version du logiciel malveillant comprend désormais un composant ransomware. Les pirates derrière elle ont fourni des options de personnalisation profondes qui sont comparables aux souches avancées des plus célèbres familles de logiciels malveillants. Dans une livraison mis en scène le composant ransomware peut être lancé après d'autres actions de logiciels malveillants ont complète. Cela est particulièrement vrai si les pirates veulent télécharger des données de l'utilisateur, il devrait être fait avant la phase de cryptage est engagé.
Le ransomware lui-même peut utiliser une liste personnalisée des extensions de type de fichier cible. Habituellement, les pirates ont tendance à inclure les données les plus utilisées telles que les archives trouvées, sauvegardes, documents, images, musique, vidéos, les fichiers de configuration et etc. Le cadre modulaire permet aux pirates d'inclure même une liste blanche et liste noire. L'interdiction de certains dossiers est généralement relié à des dossiers du système qui peut provoquer des problèmes avec les ordinateurs si leurs fichiers sont modifiés.
Une fois le processus terminé ransomware a une extension spécialiste peut être ajouté aux dossiers des victimes pour les identifier facilement. D'autres méthodes qui peuvent être utilisées pour faire du chantage aux utilisateurs à payer les opérateurs de pirates informatiques peuvent être les suivants:
- Fond d'écran Change - Les pirates peuvent instituer un changement de fond d'écran qui peut afficher une partie de la note ransomware.
- Remarque ransomware - notes Ransomware sont généralement faites dans des fichiers texte ou des documents riches qui utilisent des tactiques de chantage qui tentent de manipuler les victimes à payer les pirates à payer une « taxe de décryptage ».
- lockscreen instance - Un cadre d'application peut être engagée sur l'ordinateur de la victime qui bloque efficacement l'interaction normale jusqu'à ce que la menace a été complètement retirée.
Conséquences d'une infection NjRAT Lime Édition cheval de Troie
Ayant cela à l'esprit les capacités globales des NjRAT Lime édition cheval de Troie permettent une commande pratiquement illimitée des machines hôtes. Si le collectif criminel parvient à infecter un nombre suffisant d'hôtes infectés peut alors être créé un botnet. L'interface utilisateur graphique qui est utilisé par les opérateurs leur permet de lancer facilement les commandes les plus utilisées. La liste complète extraite d'un échantillon en direct lit les entrées suivantes:
- Directeur - permet aux pirates de recevoir un aperçu de l'hôte infecté.
- exécuter le fichier - Exécute un fichier cible sur l'ordinateur hôte.
- Bureau à distance - lance le module d'espionnage qui affiche l'écran des utilisateurs et leurs actions en temps réel.
- Micro - Enregistre le microphone de la victime et envoie les fichiers audio aux opérateurs de pirates informatiques.
- Malware tueur - via les logiciels malveillants trouvés Désactive une analyse de signature.
- Keylogger - les frappes et le mouvement détourne la souris.
- Persistance - Permet de définir la NjRAT Lime édition cheval de Troie d'une manière qui empêche toute tentative d'enlèvement de manuel utilisateur.
- Ouvrir le chat - Permet aux pirates de créer des messages aux victimes qui sont affichées sous forme de fenêtre pop-up application.
- USB propagation - Infecte connectés des dispositifs de stockage amovibles.
- Ordinateur personnel - Récupère des fichiers depuis des ordinateurs infectés.
- Client - Ouvre les préférences du client.
- Dossier ouvert - Permettre l'accès aux lecteurs locaux de l'hôte infecté.
Les utilisateurs peuvent se protéger en utilisant une solution anti-spyware qualité. Nous recommandons que tous les utilisateurs d'analyser leurs systèmes le plus rapidement possible.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter