Njrat
njRAT, également appelé Bladabindi[1], est un cheval de Troie ou cheval de Troie d'accès à distance qui permet au détenteur du programme de contrôler l'ordinateur de l'utilisateur final. Il a été découvert pour la première fois en avec certaines variantes remontant à . Il a été réalisé par une organisation de piratage informatique de différents pays appelée Sparclyheason et était souvent utilisé contre des cibles au Moyen-Orient. Il peut être propagé par l'hameçonnage et les lecteurs infectés[2]. Il est classé "sévère" par Microsoft Malware Protection Center[1].
Ă€ propos du programme et de son emplacement
Le programme a été développé par une organisation de hackers appelée Sparclyheason dont les membres identifiés sont : Njq8, MaSad, John Gietzen, DarkSel, Hector Cowlover, RockingWithTheBest, CoBrAxXx, Viotto, entre autres.
Un afflux d'attaques de njRAT a été signalé en Inde en [3]. Afin de désactiver les capacités de njRAT, Microsoft a supprimé quatre millions de sites Web en 2014 en tentant de filtrer le trafic via les domaines no-ip.com.
En , Softpedia a signalé que des campagnes de spam diffusant des chevaux de Troie d'accès à distance tels que njRAT visaient Discord (logiciel)[4]. En , Softpedia a également signalé l'apparition d'un téléchargement VMware fissuré qui téléchargerait njRAT via Pastebin . Terminer le processus mettrait l'ordinateur en panne[5].
Un site Web de l' État islamique a été piraté en pour afficher un faux téléchargement de la mise à jour du lecteur Adobe Flash, qui a téléchargé le cheval de Troie njRAT[6].
Caractéristiques
njRAT peut :
- Remote dans le bureau de la victime ou dans la fenĂŞtre active
- Voir l'adresse IP de la victime, le nom complet de l'ordinateur, le nom d'utilisateur complet, le système d'exploitation, la date d'installation et le pays
- Exécuter à distance un fichier à partir du disque ou de l'URL
- Manipuler des fichiers
- Ouvrir un shell distant, permettant Ă l'attaquant d'utiliser la ligne de commande
- Ouvrir un gestionnaire de processus pour tuer des processus
- Manipuler le registre du système
- Enregistrez la caméra et le microphone de l'ordinateur
- Enregistrer les frappes
- Voler les mots de passe stockés dans les navigateurs ou dans d'autres applications
Notes et références
- (en-US) « MSIL/Bladabindi threat description - Windows Defender Security Intelligence », sur www.microsoft.com (consulté le )
- (en-US) « NJRat », NJCCIC,‎ (lire en ligne, consulté le )
- (en-US) « Hacking virus 'Bladabindi' targets Windows users in India, steals personal info: Cert-In- Technology News, Firstpost », sur Tech2 (consulté le )
- (en) Catalin Cimpanu, « VoIP Gaming Servers Abused to Spread Remote Access Trojans (RATs) », softpedia,‎ (lire en ligne, consulté le )
- (en) Catalin Cimpanu, « RAT Hosted on PasteBin Leads to BSOD », softpedia,‎ (lire en ligne, consulté le )
- (en-US) « Hackers Hit Islamic State Site, Use It to Spread Malware », Motherboard,‎ (lire en ligne, consulté le )