Análisis en profundidad

El troyano njRAT roba contraseñas de acceso a bancos: los detalles

  • Home
  • Ciber Seguridad Informatica

Este malware (njRAT), también conocido como ‘Bladabindi’ o ‘Njw0rm’ suele distribuirse camuflado como archivos comprimidos, documentos de MS Office, archivos JavaScript, PDF y ejecutables

Publicado el 16 Mar 2023

njRAT
njRAT

NjRat es un programa clasificado como RAT (troyano de acceso remoto) desarrollado en .NET que se dirige a sistemas basados en Windows. Si se instala, puede permitir a los actores criminales recopilar información sobre los sistemas afectados, robar contraseñas y datos personales, y descargar e instalar código malicioso adicional, todo ello bajo el control de servidores remotos tripulados.

Por todo ello, es muy recomendable eliminar cualquier infección lo antes posible para evitar sufrir violaciones de la privacidad e intentos de fraude bancario.

Este malware, también conocido como ‘Bladabindi’ o ‘Njw0rm’ suele distribuirse camuflado como archivos comprimidos, documentos de MS Office, archivos JavaScript, PDF y ejecutables a través de descargas de software de terceros o sitios web no oficiales, herramientas de cracking, falsas actualizaciones de software o, como en este caso, a través de campañas de malspam.

njRAT: Análisis de una muestra detectada

El conocido cazador de malware JAMEWT_MHT compartió una muestra de una variante de njRAT transmitida como un archivo .RAR adjunto a un correo electrónico en el que se solicitaba la confirmación de datos bancarios.

Imagen

El archivo .RAR adjunto contenía un archivo .bat (‘doc-transfer_form.bat’, en realidad un ejecutable PE32 con un icono de Adobe PDF) que, si se iniciaba, activaba la cadena de infección con la ayuda de PowerShell y los comandos legítimos de Windows conhost.exe y schtasks.exe.

Imagen

La captura de pantalla compartida del registro de configuración muestra cómo la carga útil njRAT de la versión 2.0 se instala en el directorio “TEMP” del perfil de usuario, asegura su persistencia configurando el inicio automático a través de la clave del registro de Windows y establece comunicación con un host C2 de control en la dirección 5.2.68.[85]:5552.

Imagen

Cómo protegerse

Es bien sabido cómo njRAT, tras la filtración de su código fuente en 2013, ha estado disponible a lo largo de los años en diferentes variantes en foros y mercados clandestinos, permitiendo a los atacantes realizar una amplia gama de actividades típicas de un infostelaer, keylogger y backdoor y dirigirse a dispositivos privados y corporativos, a menudo eludiendo los controles de seguridad con técnicas de ofuscación.

Por lo tanto, es una buena idea complementar las propias soluciones de seguridad de software con medidas de protección adicionales y con sentido común:

– actualice rutinariamente el sistema operativo y el software, utilizando funciones y herramientas oficiales, no de terceros;

-evite descargar versiones piratas de software;

-no abra en ningún caso archivos adjuntos de correo electrónico que requieran la activación de macros. Si se recibe un correo electrónico de una dirección desconocida o sospechosa, nunca deben abrirse superficialmente sus archivos adjuntos o vinculados;

-utilice contraseñas seguras y utilice la autenticación de dos factores siempre que sea posible;

-haga copias de seguridad de los archivos con regularidad.

Por Salvatore Lombardo

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Temas principales

Especificaciones

B
Bancos
C
Contraseñas
D
datos