TOP Malware Series: NjRAT Trojan


¿Qué es NjRAT?

NjRAT (también llamado como Bladabindi y Njw0rm) es un malware del tipo troyano que tiene como característica controlar de forma remota las máquinas infectadas. Debido a su disponibilidad, el exceso de tutoriales en plataformas como YouTube y un conjunto sólido de características principales junto con varias técnicas de evasión implementadas en el programa, NjRAT se convirtió en uno de los RAT más utilizados y eficientes en el mundo.


Este malware se detectó por primera vez en el año 2013; sin embargo, los investigadores observaron relaciones en su código de malware detectados en el año 2012. El mayor aumento de ataques de este troyano se registró en 2014 en el Medio Oriente, que fue la región más atacada por este malware en esos años. Se utilizó también para el ciber-espionaje de rebeldes por parte de diferentes estados.



Características de NjRAT

  • Escritorio Remoto y Ventana activa.

  • Obtener información de configuración de la máquina víctima.

  • Ejecución remota de archivos.

  • Manipulación de archivos.

  • Ejecutar shell de manera remota.

  • Ejecutar administrador de procesos.

  • Modificar el registro de Windows.

  • Activar la cámara y el micrófono de la máquina.

  • Registro de teclas (keylogger).

  • Robo de contraseñas almacenadas en los navegadores u otras aplicaciones.


Distribución de NjRAT


NjRAT usa múltiples vectores de ataque para llegar a la mayor cantidad de maquinas posibles. Una de las formas actuales de distribución es mediante la plataforma Discord.


Otro de los métodos para propagarse por la red es el de comprometer sitios webs y crear falsas alertas para que los usuarios puedan descargar alguna actualización de productos.


El uso de campañas masivas de phishing vía correo electrónico es también otro de sus métodos de distribución habitual.


Flujo de Infección


Objetivos Geográficos de NjRAT


Debido a la popularidad de NjRAT, este malware ha estado presente en casi todos los países del mundo. Especialmente en los países del medio oriente, Europa, Asía y América.



Indicadores de Compromiso


Direcciones IP's:

69.197.156.22

193.161.193.99

3.137.63.131

116.202.168.13

3.17.117.250

85.156.188.85

192.169.69.25

47.28.203.160

3.20.98.123

3.135.90.78

3.13.191.225

24.240.72.240

46.185.19.128

78.164.134.214

52.14.18.129

181.141.10.37

3.21.60.148

3.23.201.37

3.19.6.32

77.121.91.4


Hashes


DB2324CC65025CE8B503AA9504D28A39B9926823DE069F2AE8FA9223514C4913

6CFEB0A5C81E9FACB503813BAA40C3EB5FCB681D5E9907378EEFF2880DEA645C

4C19D3911F95E7247F384D0FBBE7AC16C52521EF9375BB18FFC17D55CB1CAEAB

B7C0753E27B21B242C146A0154FAC40764A4690CD0BBE39D2BB960691E3D8BE9

F4EAAF429AE890948FC1CBC576A601423F5C0631BDD444E0D08061FBDB16E356

B430A10C527EF810DEFC6E3587E5821F9750E66F3009838976EF395036E79CED

DFC8E91C712FF07BB5BD8BCAA1DC446599A3BF619523695C5310F0B8115AE1A8

0F61A385DBA6B86E56854997CDFB0E693C48E50B2D8A29991551F0429D3B5F37

39632C879D7830B809FF803EAC294D1FBDFC8CFB2A25340D9FAB9F12C4F227CC

E8D933474DE30848D7ACFBCAC69EA2F787CA00AAAA079517454BD2C6A1776DD2

9D043579D6CA5C26AD325405E6C35C6001E08021C48982F813C2ECDE9D3DC058

F0D0B0B8D0C5C488BAB02A69376860DCEF2F22DC1A88DE0CDF979CC02A316011

AF95FAFEE6276C70272CFFFE36091ACED179A5CAE5DE1FA536B27DB2368FC919

3C9D38B2900F7223ECA9435AD74E54A1E217B683C9D2F8E50E3B340B984BA734

BA21D4798BA54ED382F851FB4FA6D486238BA27F8AE74E4E6386DC8A904787B4

4D8173995E69CFB7076919753429E576F45817D5DF9B77A7B973FFF2F51B6C93

C057C8541C4B7CD0C9ACFD4941F7091AD30559A5E528190698129768699B6719

9436C43FB8C07E9FEB53E8985D5C2CAAF3B5C9948E78A4BF3FA8802FD7239773

55349DA5F35DE5E1A03B0571D32888A3FF85DD8550023A5B7B919DBDB5B7BB1F

B0D6E33244C4116E5D067D0ABD1AD3A392701C67095F27EDFB4CE0CF57786BE8


Dominios:


blog.capeturk.com

keyman-58345.portmap.host

Qnos12-23977.portmap.host

TheCrazyInsanity-40034.portmap.host

Zmining-54030.portmap.host

supertramp2013-61178.portmap.io

Koala-61461.portmap.host

b1gtest3r-40051.portmap.host

23421354-51228.portmap.host

HKAndro-60817.portmap.host

majidzhacker-36885.portmap.io

mateja1119-62868.portmap.io

Another1-33981.portmap.host

Miloudi-25178.portmap.host

tubeydoo-51012.portmap.host

BonelessPizza-31637.portmap.host

836c92-33551.portmap.host

oioioioioioioioioioiooioioi-35025.portmap.host

Mju-49682.portmap.io

DeeJay140-59084.portmap.io


Medios Relacionados



Recomendaciones de seguridad

  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).

  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.

  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.

  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.

  • Manténgase informado de las últimas amenazas y riesgos en Internet.

  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Artículos relacionados

CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Escríbenos a

Síguenos en

  • Icono social Twitter
  • Icono social LinkedIn
  • Facebook icono social