bienvenido a t-cert
njRAT es un troyano de acceso remoto (RAT, por sus siglas en inglés); es decir, un programa malicioso que permite a un atacante controlar remotamente un equipo comprometido y realizar diversas acciones. Las primeras detecciones de njRAT se registraron en el Medio Oriente en 2012, probablemente el lugar donde fue creado , junto a otra variante de este troyano conocida como njw0rm, también desarrollada por el mismo autor. Los productos de ESET detectan esta amenaza como MSIL/Bladabindi.
Aunque algunas publicaciones se refieren a los dos como el mismo malware, en algunos casos se describe a njw0rm como una variante que se cree fue desarrollada posteriormente por el autor de njRAT, incorporando funcionalidad para reproducirse automáticamente a través de unidades USB extraíbles. A diferencia de este, njRAT no puede reproducirse automáticamente.
El código fuente junto con el programa que lo configura se filtró en foros de la dark web alrededor del año 2013, aunque algunos desarrolladores de malware ya lo estaban utilizando para crear nuevas versiones mejoradas o modificadas bajo otros nombres. Algunas de estas variantes se han utilizado tanto para campañas masivas como en ataques dirigidos a individuos u organizaciones por parte de cibercriminales y grupos de APT.
Un ejemplo fue Operación Spalax, una campaña dirigida a instituciones gubernamentales y empresas en Colombia en la cual se utilizó la versión 0.7.3 de este RAT, también conocida como Lime, la cual incluye funcionalidades como DDoS o cifrado de ransomware.
Desde su filtración la popularidad de njRAT como plantilla de malware no ha mermado y se ha convertido probablemente en el troyano de acceso remoto más prevalente y accesible dada la cantidad de información y tutoriales que existen en la web. Por todo esto es que se suele hablar de njRAT como un RAT commoditie.
Hemos visto varios códigos maliciosos que reutilizan código de njRAT, especialmente sus funcionalidades para recibir y enviar información a sus servidores de Control & Comando y de keylogging, las cuales si bien no son particularmente sofisticadas, son fáciles de utilizar para cualquier desarrollador.
Un caso interesante se dio en una reciente campaña de malware que investigadores de ESET nombraron Janeleiro. Se trata de un troyano bancario que está siendo utilizado en campañas dirigidas a usuarios corporativos en Brasil y cuyo malware principal es una adaptación en .NET del código fuente de NjRAT. Lo interesante de este caso es que Janeleiro comparte con varios troyanos bancarios de América Latina que hemos analizado previamente su principal característica: el uso de ventanas emergentes falsas para suplantar la identidad del banco que la víctima estaba intentando visitar. Sin embargo, a diferencia de los troyanos bancarios que tradicionalmente operan en la región, todos están desarrollados en el lenguaje de programación Delphi.
Lectura Relacionada: Janeleiro: otro troyano bancario que apunta a usuarios corporativos en Brasil
Es muy común que cuando se reporta que njRAT fue utilizado para algún tipo de ataque o compaña en realidad se esté haciendo referencia a una variante modificada, y que en muchos casos no presente ninguna característica notable (a diferencia del caso de Janeleiro, por ejemplo) que sea valiosa documentar o apartar para un tipo de detección en particular, por lo tanto, se suele utilizar el nombre Bladabindi o njRAT genéricamente para este tipo de variantes.
Estas son algunas de las características principales del njRAT original:
.jpg){kind=small}