Zscaler vừa cảnh báo biến thể của njRAT remote access Trojan (RAT), Ransomware njRAT có khả năng trộm tiền ảo, mã hóa các file và trộm từ ảo từ ví điện tử của người dùng
Còn được biết đến với tên gọi Bladabindi, njRAT xuất hiện từ khoảng năm 2013 và là một trong những thành viên trong số các phần mềm độc hại phổ biến nhất hiện nay. Đước tích hợp trong .NET Framework, phần mềm độc hại này có khả năng cung cấp cho kẻ tấn công kiểm soát từ xa các hệ thống bị nhiễm, sử dụng DNS động cho Command-and-Control (C&C) và sử dụng giao thức TCP tuỳ biến trên cổng cấu hình để giao tiếp.
Ransomware njRAT có khả năng trộm tiền ảo
Được mệnh danh là njRAT Lime Edition, phiên bản phần mềm độc hại mới hỗ trợ lây lan ransomware, Bitcoin grabber, và tấn công từ chối dịch vụ DDoS, đồng thời có khả năng ghi lại keystroke, lây lan qua ổ USB, đánh cắp mật khẩu và khóa màn hình.
Phần mềm độc hại sẽ lấy danh sách các process đang chạy trên máy tính nạn nhân và sử dụng danh sách này để theo dõi ví tiền ảo. Tiền ảo và tài khoản ngân hàng của người dùng, thẻ ghi nợ, thẻ tín dụng vẫn luôn là mối quan tâm hàng đầu của tội phạm mạng.
Các nhà nghiên cứu của Zscaler cho biết một khi hệ thống bị nhiễm, phần mềm độc hại này cũng sẽ kiểm tra các máy ảo và môi trường sandbox và thu thập lượng lớn các thông tin hệ thống bao gồm tên hệ thống, tên người dùng, phiên bản Windows và kiến trúc, sự hiện diện của webcam, cửa sổ đang hoạt động, CPU, card video, bộ nhớ, thông tin về phân vùng, cài đặt chống virus và thời gian lây nhiễm.
Ngoài ra phần mềm độc hại này cũng theo dõi hệ thống, các process cụ thể liên quan đến bảo mật và cố gắng kill các process này để không bị phát hiện.
Các nhà nghiên cứu bảo mật cũng cho biết ransomware njRAT mới cũng có thể mở ra các cuộc tấn công ARME và Slowloris DDoS. Công cụ Slowloris cho phép hạ một máy chủ với băng thông tối tiểu, trong khi vẫn giữ nhiều kết nối đến máy chủ web đích đang mở. Các cuộc tấn công ARME cũng làm cạn kiệt bộ nhớ máy chủ.
Khi nhận được lệnh từ C&C, phần mềm độc hại có thể xóa cookie Chrome và các đăng nhập mà người dùng đã lưu, tắt màn hình, sử dụng TextToSpeech để thông báo văn bản đã nhận từ C&C, khôi phục lại chức năng nút chuột bình thường, kích hoạt trình quản lý tác vụ, thay đổi hình nền, đăng nhập từ cửa sổ foreground, chia sẻ, tải file thông qua phần mềm torrent, và bắt đầu các cuộc tấn công của Slowloris.
Ngoài ra phần mềm độc hại này sẽ trả về thông báo đòi tiền chuộc, khởi động lại máy tính, vô hiệu hóa Command Prompt, xóa các bản ghi sự kiện, kill các process giám sát Bitcoin, khởi động botkiller, gửi các thông tin hệ thống (CPU / GPU / RAM), kiểm tra ví điện tử Bitcoin đã được cài đặt và gửi thông tin đến C&C, tải plugin và cấu hình plugin đó với máy chủ C&C.
njRAT cũng có khả năng lây nhiễm như worm. Nó có thể giám sát hệ thống để theo dõi các ổ USB được kết nối và sao chép, tạo một phím tắt bằng cách sử dụng biểu tượng thư mục.
Chức năng ransomware của phần mềm độc hại mã hóa các file của người dùng và thêm phần mở rộng .lime cho chúng. Phần mềm độc hại sử dụng thuật toán đối xứng AES-256 để mã hóa, tức là có thể sử dụng cùng một khóa để giải mã.
"Trong lần đầu tiên Lime được khởi chạy, nó sẽ gọi hàm RandomString(), sử dụng để tạo một khóa AES. Hàm này tạo một mảng 50-byte từ chuỗi đầu vào sử dụng một chỉ mục ngẫu nhiên, và sử dụng hàm random () để lấy một ký tự và lưu nó vào chuỗi đầu ra", theo các nhà nghiên cứu Zscaler giải thích.
Ngoài ra các nhà nghiên cứu cũng phát hiện các hàm để giải mã file được mã hóa bởi ransomware Lime, được bao gồm trong phần mềm độc hại.
Như các bạn đã biết, hiện nay có rất nhiều sàn giao dịch tiền ảo được thành lập nhằm đáp ứng nhu cầu mua bán, trao đổi các loại tiền ảo trên khắc thế giới, mỗi sàn giao dịch tiền ảo đều có những thế mạnh riêng của mình, bạn hãy chọn lựa chọn cho mình sàn giao dịch tiền ảo uy tín và phù hợp nhất nhé.
Snapchat là một ứng dụng tin nhắn hình ảnh rất phổ biến trên toàn thế giới. Để có thể cạnh tranh được với những ứng dụng nhắn tin, trò chuyện, mạng xã hội khác trên nền tảng di động lẫn máy tính, mới đây Snapchat cho phép gọi video nhóm tối đa 16 người để người dùng có thể trao đổi như một cuộc họp giữa các thành viên với nhau.
https://thuthuat.taimienphi.vn/ransomware-njrat-co-kha-nang-trom-tien-ao-33768n.aspx