La comunità di sicurezza ha riferito che il NjRat Lime Edition Trojan è stato recentemente aggiornato con un nuovo componente ransomware. Il fatto che questo strumento di hacking è popolare tra i criminali informatici sia sui mercati degli hacker sotterranei e le comunità significa che è probabile che gli attacchi stanno per essere lanciato con esso molto presto. L'attacco imminente anticipato può prendere intere reti a livello globale. Questo è il motivo per cui stiamo prendendo uno sguardo approfondito nella NjRat Lime Edition Trojan, analizzando tutte le sue capacità.
njRAT Lime Edition Trojan Panoramica: Perchè importa
Il NjRat Lime Edition Trojan è un nuovo malware che è stato recentemente identificato dalla comunità della sicurezza. Ciò che lo rende unico tra molti altri è il fatto che anche nelle sue prime uscite comprende quasi tutti i moduli contenuti in minacce avanzate. I programmatori dietro di esso hanno pubblicato il file eseguibile gratuitamente sui siti sotterranei. L'ultima versione è 0.7.8 rilasciato pochi giorni fa,.
Siamo stati in grado di ottenere una copia della minaccia attraverso le fonti pericolose. Interessa a notare che viene pubblicizzato come malware strumento di hacking telecomando mentre allo stesso tempo recante la “Solo per uso didattico”. La prima versione pubblica monitorata da comunità (11/9/2017) è conosciuto 0.7.6. Questo rende l'ultimo aggiornamento solo un punto di rilascio.
ATTENZIONE! Abbiamo ottenuto i file eseguibili e la relativa documentazione per preparare questo articolo solo a scopo di educazione. Noi non perdoniamo le operazioni di hacking e malware.
NjRAT Lime Edition Trojan Metodi di consegna
A seconda delle tattiche degli hacker del NjRAT Lime Edition Trojan può essere implementato utilizzando diverse tattiche. Uno dei possibili modi di fare le infezioni è attraverso un payload downloader. Ciò può essere ottenuto utilizzando i seguenti metodi:
- I messaggi di posta elettronica - Gli operatori di malware possono utilizzare i bot per generare messaggi che facilitano i modelli al fine di ricattare gli utenti il download e l'esecuzione di un determinato file infetto. Può essere sia un file eseguibile, archivio o documento. In ogni caso, una volta che viene scaricato ed eseguito l'infezione con il NjRAT calce Edition Trojan viene avviata. Nel caso di documenti script di malware possono essere inseriti in quasi tutti i formati ampiamente utilizzati: banche dati, presentazioni, documenti di testo e fogli di calcolo ricchi.
- download - casi infetti possono essere collocati sui portali di download e facilitato attraverso pop-up e reindirizzamento web.
- Browser hijacker - plugin del browser web pericoloso può essere utilizzato per installare malware come questo. Di solito sono fatti per le applicazioni più popolari: Mozilla Firefox, Google Chrome, Safari, Microsoft Edge, Internet Explorer e Opera.
Fase infezione NjRAT Lime Edition Trojan: Come tutto ha inizio
Una volta che il NjRAT Lime Edition Trojan si è fatto strada sui computer host una delle prime azioni lo fa è quello di verificare il sistema per eventuali istanze di debug o di sicurezza in esecuzione. Effettivamente la minaccia riesce a installarsi in un invisibile maniera, cercando le firme di macchine virtuali (VirtualBox e VMWware), ambienti sandbox, utilità analisi dei processi (Process Explorer), strumenti di networking (Wireshark) e altri software di gestione del sistema (ApateDNS). Se non è in grado di eliminare o disattivare allora il virus può cancellare se stesso per evitare il rilevamento.
Gli analisti di sicurezza hanno anche scoperto che non potrebbe avviare immediatamente dopo l'infezione è stata fatta. Questo “dormire” funzione è implementata ordine n di ingannare i motori anti-virus, che presumo che un virus avrebbe cominciato a manipolare il sistema alla prima infezione. Il NjRAT Lime Edition Trojan è stata trovata anche di istituire un installazione persistente che previene efficacemente metodi di rimozione manuale utente. Esso controlla costantemente il comportamento degli utenti e disattiva tutte le azioni che possono interferire con i suoi processi.
Altre azioni che vengono richiamati in questa prima fase degli anni di malware includono i cambiamenti di sistema. Essi vengono deliberatamente fatte per preparare il sistema per il follow-up azioni del malware. Alcuni esempi sono i seguenti:
- L'aggiunta di un client Hidden - Il NjRAT Lime Edition Trojan crea un processo nascosto che non può essere facilmente identificato dall'utente o l'amministratore di sistema. Ha la capacità di crearne di nuovi, collegare alle applicazioni esistenti e modificare i livelli di privilegio a volontà.
- Malware Stoper - Il codice Trojan in grado di identificare le infezioni esistenti e prendere il controllo di loro il che significa che gli hacker possono manipolare le loro impostazioni o anche disabilitare temporaneamente i virus.
- Aggiunta Plugin - Gli hacker che ottengono il codice hanno la capacità di modificare ulteriormente con l'aggiunta di plugin personalizzati alla struttura modulare.
- Offuscazione - Per impedire il rilevamento del motore infezione e tutti i file associati stessi possono copiare in una posizione del sistema e nascondere i loro nomi. Si può anche cambiare la sua estensione e l'icona.
Funzionalità NjRAT Lime Edition di Troia
Una volta che tutte le azioni di infezione base hanno completare l'NjRAT Lime Edition Trojan il malware continua ulteriormente. Il motore imposta un client di rete che permette agli hacker di controllare a distanza gli host infettati. La nostra analisi di sicurezza mostra che questo include anche opzioni di alimentazione, come l'arresto e il riavvio. Attraverso i comandi di Internet i computer possono essere istruiti per svolgere DDOS (Distributed Denial of Service) attacchi contro obiettivi fissati. Per facilitare la connettività ottimale gli operatori possono istruire i clienti a dormire temporaneamente se stessi o ricollegare a determinati intervalli. Il Trojan può anche infettare i dispositivi USB e altri dispositivi di rete.
La NO-IP server DNS dinamico può facoltativamente essere attivata per consentire la botnet per essere somministrato in modo più efficiente. E 'molto possibile per un collettivo penale di affittare l'infrastruttura di malware creato per altri hacker. D'altra parte, come i padroni di casa di computer sono messi in controllo totale del codice Trojan gli utenti malintenzionati possono istituire impostazioni scherzo simile, come: inversione del mouse, dilettarsi con il contenuto degli appunti, modifica della barra, girando il monitor e lo spegnimento e generare un messaggio audio tramite il testo del sistema operativo al motore vocale. Importanti componenti del sistema operativo possono essere disabilitate o addirittura cancellati (Task Manager e Visualizzatore eventi), così come qualsiasi file di registro rimossi.
Dirottando impostazioni internazionali del sistema e la configurazione utente i criminali possono ottenere un senso della loro posizione. Inoltre un pubblico database geografici viene alimentato l'indirizzo IP e tutti gli altri valori importanti per aiutare a localizzare le vittime in una posizione più precisa. Quando si tratta di raccolta di informazioni ci sono due categorie principali che possono essere differenziati:
- Informazioni personali - I dati raccolti possono esporre direttamente l'identità dell'utente raccogliendo informazioni quali il loro vero nome, indirizzo, telefono, interessi, preferenze e ecc.
- Data system - Il NjRAT Lime Edition Trojan ha la capacità di estrarre un sacco di informazioni sensibili dal computer host, compresi i componenti hardware disponibili, applicazioni software installate ed ecc.
La nostra analisi mostra che un altro possibile scenario di caso d'uso è una seminatrice torrente. Gli hacker possono usufruire dello spazio su disco e di rete rigido disponibile a seme torrenti che genera rapporto (valutazione) per i loro account sul tracker torrent collegati. In molti casi, il contenuto è illegale (pirata) materiale.
Ransomware Motore Il NjRAT Lime Edition di Trojan Exposed
L'ultima versione del malware include ora una componente ransomware. Gli hacker dietro di esso sono in bundle opzioni di personalizzazione profonde che sono paragonabili a ceppi avanzate delle più famose famiglie di malware. In una consegna in scena la componente ransomware può essere lanciato dopo che altre azioni del malware hanno completa. Ciò è particolarmente vero se gli hacker vogliono scaricare dati utente, avrebbe bisogno di essere fatto prima della fase di crittografia è impegnato.
Il ransomware stessa può utilizzare un elenco personalizzato di estensioni di file di destinazione. Di solito gli hacker tendono ad includere i dati più utilizzati quali eventuali archivi elencati, backup, documentazione, immagini, musica, video, i file di configurazione ed ecc. La struttura modulare permette agli hacker di includere anche una white list e black list. Il divieto di determinate cartelle è di solito collegato alle cartelle di sistema che può causare problemi con i computer, se i loro file vengono modificati.
Una volta che il processo di ransomware ha terminato l'estensione specialista può essere aggiunto ai file vittima per identificarli facilmente. Altri metodi che possono essere utilizzati per ricattare gli utenti a pagare gli operatori degli hacker possono essere i seguenti:
- Cambia sfondo - Gli hacker possono istituire una carta da parati cambiare in grado di visualizzare una porzione della nota ransomware.
- Nota ransomware - Note ransomware sono solitamente realizzati in file di testo o documenti ricchi che utilizzano tattiche ricatto che tentano di manipolare le vittime a pagare gli hacker a pagare una “tassa di decrittazione”.
- lockscreen istanza - Una cornice applicazione può essere istituito sul computer della vittima, che blocca efficacemente l'interazione normale fino a quando la minaccia è stato completamente rimosso.
Conseguenze di un'infezione NjRAT Lime Edition Trojan
Avere questa è la mente le capacità complessive delle NjRAT Lime Edition Trojan permettono il controllo praticamente illimitato di macchine host. Se il collettivo criminale riesce ad infettare un numero sufficiente di host infettati quindi possibile creare una botnet. L'interfaccia utente grafica che viene utilizzato dagli operatori consentono loro di lanciare facilmente i comandi più diffusi. L'elenco completo estratto da un campione dal vivo legge le seguenti voci:
- Manager - permette agli hacker di ricevere una panoramica della host infetto.
- File Run - Esegue un file di destinazione sul computer host.
- Desktop remoto - Avvia il modulo di spionaggio che visualizza la schermata di utenti e le loro azioni in tempo reale.
- Microfono - microfono registra della vittima e invia i file audio agli operatori degli hacker.
- Malware Killer - Disabilita trovato malware tramite una scansione della firma.
- Keylogger - Dirottano combinazioni di tasti e movimenti del mouse.
- Persistenza - Imposta il NjRAT Lime Edition Trojan in un modo che impedisce i tentativi di rimozione manuale utente.
- Aprire Chat - permette agli hacker di creare messaggi alle vittime che vengono visualizzati come finestra pop-up app.
- diffusione USB - Infetta dispositivi di memorizzazione rimovibili collegati.
- PC - Recupera i file dai computer compromessi.
- Cliente - Apre le preferenze del cliente.
- Cartella aperta - Consentire l'accesso alle unità locali del host infetto.
Gli utenti possono proteggersi utilizzando una soluzione di qualità anti-spyware. Consigliamo a tutti gli utenti i loro sistemi di scansione più breve tempo possibile.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter