Mã độc njRAT có khả năng đánh cắp tiền ảo

Được biết đến như Bladabindi, njRAT đã xuất hiện ít nhất từ năm 2013 và là một trong họ phần mềm độc hại phổ biến nhất. Sẵn có trong .NET Framework, mã độc cung cấp cho tin tặc khả năng kiểm soát từ xa đối với những hệ thống bị nhiễm, sử dụng DNS động để điều khiển và ra lệnh (command-and-control - C&C) và sử dụng một giao thức TCP tùy chỉnh trên một cổng giao tiếp có thể cấu hình.

Được mệnh danh là njRAT Lime Edition, biến thể phần mềm độc hại mới hỗ trợ cả việc lây nhiễm ransomware, chiếm đoạt Bitcoin và tấn công từ chối dịch vụ (DDoS), đồng thời theo dõi thao tác bàn phím, lây lan qua các ổ USB, đánh cắp mật khẩu và khóa màn hình.

Phần mềm độc hại thu thập một danh sách các tiến trình đang chạy trên máy của nạn nhân và sử dụng nó để theo dõi các ví tiền ảo. Vì chúng là tiền tệ được lưu trữ dưới dạng số hóa và có thể kết nối với tài khoản ngân hàng, thẻ ghi nợ hoặc thẻ tín dụng của người dùng nên đã trở thành mối quan tâm của tin tặc.

Các nhà nghiên cứu của Zscaler cho biết, một khi hệ thống bị lây nhiễm, phần mềm độc hại kiểm tra các  máy ảo và sandbox (một kỹ thuật bảo mật có tác dụng cô lập các ứng dụng, ngăn chặn các phần mềm độc hại). Nó cũng thu thập một lượng lớn thông tin hệ thống: Tên hệ thống, tên người dùng, cấu trúc và phiên bản windows, webcam, cửa sổ đang hoạt động, CPU, card video, bộ nhớ, thông tin về dung lượng, các phần mềm chống virus đã cài đặt và thời gian lây nhiễm.

Ngoài ra, mối đe dọa này còn giám sát hệ thống về những quy trình bảo mật cụ thể, cố gắng phá hoại chúng để tránh bị phát hiện.

Theo các nhà nghiên cứu bảo mật, phiên bản njRAT mới này có thể khởi chạy tấn công Slowloris DDoS và ARME. Công cụ Slowloris cho phép một máy đơn lẻ phá hủy một máy chủ chỉ với băng thông rất nhỏ trong khi cố gắng duy trì  các kết nối với máy chủ web mục tiêu. Tấn công ARME cũng gây cạn kiệt bộ nhớ máy chủ.

Khi nhận lệnh từ C&C, phần mềm độc hại có thể xóa cookie của Chrome và những thông tin đăng nhập đã lưu, tắt màn hình, sử dụng TextToSpeech (chuyển văn bản thành giọng nói) để thông báo văn bản nhận được từ C&C, khôi phục tính năng nhấn chuột thông thường, bật trình quản lý tác vụ, thay đổi hình nền, sử dụng phím từ cửa sổ trước, chia sẻ, tải các tập tin thông qua phần mềm torrent và bắt đầu tấn công Slowloris.

Nó cũng có thể thả xuống và hiển thị một thông báo tiền chuộc, khởi động lại máy tính, vô hiệu hóa dấu nhắc lệnh, xóa nhật ký sự kiện, dừng tiến trình giám sát Bitcoin, khởi động botkiller, gửi thông tin hệ thống (CPU/GPU/RAM), kiểm tra ví Bitcoin đã cài, gửi thông tin tới C&C và nạp một plugin  (thành phần mở rộng được cài đặt vào các phần mềm) và cấu hình nó cho máy chủ C&C.

njRAT cũng bao gồm khả năng lây lan giống như sâu (worm). Nó có thể giám sát hệ thống thông qua các cổng USB đã kết nối và có thể sao chép chính nó, trong khi cũng tạo ra một shortcut (nút tắt) để tự sử dụng biểu tượng thư mục.

Chức năng tống tiền của phần mềm độc hại sẽ mã hóa các tập tin người dùng và bổ sung thêm phần mở rộng .lime vào các tập tin này. Phần mềm độc hại sử dụng thuật toán đối xứng AES-256 để mã hóa, nghĩa là có thể sử dụng cùng một khóa để giải mã.

Zscaler giải thích: “Khi Lime được khởi chạy lần đầu tiên, nó sẽ gọi hàm RandomString(), nhằm cố gắng tạo ra một khóa AES. Nó tạo một chuỗi 50 byte từ chuỗi đầu vào sử dụng chỉ số ngẫu nhiên và sử dụng hàm random() để tìm nạp một ký tự và lưu nó vào chuỗi đầu ra”.