njRAT: um trojan de acesso remoto bastante utilizado por vários cibercriminosos

njRAT é um trojan de acesso remoto (RAT) que existe há vários anos e ainda é bastante utilizado em suas diferentes variantes criadas a partir da versão original.

njRAT é um trojan de acesso remoto (RAT) que existe há vários anos e ainda é bastante utilizado em suas diferentes variantes criadas a partir da versão original.

njRAT é um trojan de acesso remoto (RAT), ou seja, um programa malicioso que pode permitir a um atacante controlar remotamente um computador comprometido e executar várias ações. As primeiras detecções do njRAT foram registradas no Oriente Médio em 2012, provavelmente o lugar onde foi criado, juntamente com outra variante da ameaça conhecida como njw0rm, também desenvolvida pelo mesmo criador. Os produtos ESET detectam essa ameaça como MSIL/Bladabindi.

njRAT ou njw0rm?

Embora algumas publicações se refiram às duas ameaças como o mesmo malware, em alguns casos o njw0rm é descrito como uma variante que se acredita ter sido desenvolvida pelo mesmo criador do njRAT, incorporando a funcionalidade de reprodução automática por meio de unidades USB removíveis. Ao contrário, o njRAT não pode reproduzir-se automaticamente.

njRAT usado como um modelo de malware

O código-fonte do njRAT, juntamente com o programa que o configura, foi exposto em fóruns da dark web por volta de 2013, embora alguns desenvolvedores de malware já o estivessem usando para criar versões novas, aprimoradas ou modificadas com outros nomes. Algumas dessas variantes foram utilizadas tanto para campanhas em massa quanto em ataques dirigidos a indivíduos ou organizações por cibercriminosos e grupos APT.

Um exemplo disso foi a Operação Spalax, uma campanha direcionada a orgãos governamentais e empresas na Colômbia na qual os criminosos utilizaram a versão 0.7.3 desse RAT, também conhecida como Lime, que inclui recursos como DDoS ou criptografia de ransomware.

Desde o seu vazamento, a popularidade do njRAT como modelo de malware não diminuiu e a ameaça provavelmente se tornou o trojan de acesso remoto mais prevalente e acessível, considerando a quantidade de informações e tutoriais que existem na web. Por isso, o njRAT é frequentemente referido como um RAT commodity.

Vimos vários códigos maliciosos que reutilizam o código do njRAT, especialmente suas funcionalidades para receber e enviar informações para seus servidores de Controle & Comando e de keylogging, que embora não sejam particularmente sofisticados, permite que qualquer desenvolvedor os utilize.

Um caso interessante ocorreu em uma recente campanha de malware que os pesquisadores da ESET batizaram de Janeleiro. A ameaça trata-se de um trojan bancário que está sendo utilizado em campanhas direcionadas a usuários corporativos no Brasil e cujo principal malware é uma adaptação em .NET do código-fonte do NjRAT. O interessante deste caso é que o Janeleiro conta com as mesmas características de outros trojans bancários da América Latina que analisamos anteriormente: o uso de pop-ups falsos para se fazer passar pela página de um banco que a vítima estava tentando acessar. No entanto, ao contrário dos trojans bancários que normalmente operam na região, todos são desenvolvidos na linguagem de programação Delphi.

Ao relatar que o njRAT foi utilizado para algum tipo de ataque ou campanha, é bastante comum que os pesquisadores estejam se referindo a uma variante modificada, e que em muitos casos não apresente características notáveis ​​(ao contrário do caso do Janeleiro, por exemplo) que sejam importantes para documentar ou reservar para um determinado tipo de detecção, portanto, costuma-se usar o nome de Bladabindi ou njRAT de forma genérica para esse tipo de variante.

Principais características do Trojan njRAT

Estas são algumas das principais características do njRAT original:

  • Desenvolvido na linguagem de programação C#
  • Captura de tela, captura de câmera e áudio
  • Captura de pressionamento de teclas (keylogging)
  • Persistência no registro do Windows
  • Manipulação, download, extração e execução de arquivos
  • Manipulação do registro do Windows
  • Roubo de credenciais
  • Adiciona uma exceção no Firewall do Windows para poder se comunicar
  • Conexão com o servidor C&C via Socket TCP e dados codificados em Base64

Para complementar, a seguinte tabela do MITER ATT&CK lista algumas técnicas que foram usadas nas variantes do njRAT.

Técnica ( ID) NomeDescrição
T10710.001Application Layer Protocol: Web ProtocolsnjRAT  has used HTTP for C2 communications.
T1010Application Window DiscoverynjRAT  gathers information about opened windows during the initial infection.
T1547.001Boot or Logon Autostart Execution: Registry Run Keys / Startup FoldernjRAT has added persistence via the Registry key HKCU\Software\Microsoft\CurrentVersion\Run\ and dropped a shortcut in %STARTUP%.
T1059.003Command and Scripting Interpreter: Windows Command ShellnjRAT  can launch a command shell interface for executing commands.
.001Command and Scripting Interpreter: PowerShellnjRAT has executed PowerShell commands via auto-run registry key persistence.
T15550.003Credentials from Password Stores: Credentials from Web BrowsersnjRAT has a module that steals passwords saved in victim web browsers.
T11320.001Data Encoding: Standard EncodingnjRAT uses Base64 encoding for C2 traffic.
T1005Data from Local SystemnjRAT can collect data from a local system.
T15680.001Dynamic Resolution: Fast Flux DNSnjRAT has used a fast flux DNS for C2 IP resolution.
T1041Exfiltration Over C2 ChannelnjRAT has used HTTP to receive stolen information from the infected machine.
T1083File and Directory DiscoverynjRAT can browse file systems using a file manager module.
T15620.004Impair Defenses: Disable or Modify System FirewallnjRAT has modified the Windows firewall to allow itself to communicate through the firewall.
T1070Indicator Removal on HostnjRAT is capable of deleting objects related to itself (registry keys, files, and firewall rules) on the victim.
T1105Ingress Tool TransfernjRAT can download files to the victim’s machine.
T10560.001Input Capture: KeyloggingnjRAT  is capable of logging keystrokes.
T1112Modify RegistrynjRAT can create, delete, or modify a specified Registry key or value.
T1106Native APInjRAT has used the ShellExecute() function within a script.
T1571Non-Standard PortnjRAT has used port 1177 for HTTP C2 communications.
T1027Obfuscated Files or InformationnjRAT has included a base64 encoded executable.
0.004Compile After DeliverynjRAT  has used AutoIt to compile the payload and main script into a single executable after delivery.
T1120Peripheral Device DiscoverynjRAT will attempt to detect if the victim system has a
T1057Process DiscoverynjRAT can search a list of running processes for Tr.exe.
T1012Query RegistrynjRAT can read specific registry values.
T10210.001Remote Services: Remote Desktop ProtocolnjRAT has a module for performing remote desktop access.
T1018Remote System DiscoverynjRAT can identify remote hosts on connected networks
T1091Replication Through Removable MedianjRAT can be configured to spread via removable drives
T1113Screen CapturenjRAT can capture screenshots of the victim’s machines.
T1082System Information DiscoverynjRAT enumerates the victim operating system and computer name during the initial infection.
T1033System Owner/User DiscoverynjRAT enumerates the current user during the initial
T1125Video CapturenjRAT can access the victim's webcam.

Newsletter

Discussão