TOP Malware Series: NjRAT Trojan

¿Qué es NjRAT?

NjRAT (también llamado como Bladabindi y Njw0rm) es un malware del tipo troyano que tiene como característica controlar de forma remota las máquinas infectadas. Debido a su disponibilidad, el exceso de tutoriales en plataformas como YouTube y un conjunto sólido de características principales junto con varias técnicas de evasión implementadas en el programa, NjRAT se convirtió en uno de los RAT más utilizados y eficientes en el mundo.

Este malware se detectó por primera vez en el año 2013; sin embargo, los investigadores observaron relaciones en su código de malware detectados en el año 2012. El mayor aumento de ataques de este troyano se registró en 2014 en el Medio Oriente, que fue la región más atacada por este malware en esos años. Se utilizó también para el ciber-espionaje de rebeldes por parte de diferentes estados.

Características de NjRAT

• Escritorio Remoto y Ventana activa.
• Obtener información de configuración de la máquina víctima.
• Ejecución remota de archivos.
• Manipulación de archivos.
• Ejecutar shell de manera remota.
• Ejecutar administrador de procesos.
• Modificar el registro de Windows.
• Activar la cámara y el micrófono de la máquina.
• Registro de teclas (keylogger).
• Robo de contraseñas almacenadas en los navegadores u otras aplicaciones.

Distribución de NjRAT

NjRAT usa múltiples vectores de ataque para llegar a la mayor cantidad de maquinas posibles. Una de las formas actuales de distribución es mediante la plataforma Discord.

Otro de los métodos para propagarse por la red es el de comprometer sitios webs y crear falsas alertas para que los usuarios puedan descargar alguna actualización de productos.

El uso de campañas masivas de phishing vía correo electrónico es también otro de sus métodos de distribución habitual.

Flujo de Infección

Objetivos Geográficos de NjRAT

Debido a la popularidad de NjRAT, este malware ha estado presente en casi todos los países del mundo. Especialmente en los países del medio oriente, Europa, Asía y América.

Indicadores de Compromiso

Direcciones IP’s:

• 69.197.156.22
• 193.161.193.99
• 3.137.63.131
• 116.202.168.13
• 3.17.117.250
• 85.156.188.85
• 192.169.69.25
• 47.28.203.160
• 3.20.98.123
• 3.135.90.78
• 3.13.191.225
• 24.240.72.240
• 46.185.19.128
• 78.164.134.214
• 52.14.18.129
• 181.141.10.37
• 3.21.60.148
• 3.23.201.37
• 3.19.6.32
• 77.121.91.4

Hashes
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Dominios:

blog.capeturk.com
keyman-58345.portmap.host
Qnos12-23977.portmap.host
TheCrazyInsanity-40034.portmap.host
Zmining-54030.portmap.host
supertramp2013-61178.portmap.io
Koala-61461.portmap.host
b1gtest3r-40051.portmap.host
23421354-51228.portmap.host
HKAndro-60817.portmap.host
majidzhacker-36885.portmap.io
mateja1119-62868.portmap.io
Another1-33981.portmap.host
Miloudi-25178.portmap.host
tubeydoo-51012.portmap.host
BonelessPizza-31637.portmap.host
836c92-33551.portmap.host
oioioioioioioioioioiooioioi-35025.portmap.host
Mju-49682.portmap.io
DeeJay140-59084.portmap.io

Medios Relacionados

Recomendaciones de seguridad

1. Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
2. Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
3. No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
4. No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
5. Manténgase informado de las últimas amenazas y riesgos en Internet.
6. Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
7. Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Artículos relacionados

• https://blogs.cisco.com/tag/njrat
• https://any.run/malware-trends/njrat
• https://www.carbonblack.com/blog/threat-analysis-unit-tau-threat-intelligence-notification-njrat/
• https://blog.malwarebytes.com/detections/backdoor-njrat/

Camilo Mix

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.