
njRAT (Bladabindi) es una herramienta de acceso remoto (RAT) altamente sofisticada o caballo de Troya que el propietario de un programa puede usar para controlar un sistema de usuario final. Fue fundado originalmente en 2013, y algunas de sus variantes también datan de 2012. Actualmente, puede encontrar descargas gratuitas de njRAT a continuación. Fue creado al invadir un grupo llamado Sparclyheason de varios países y se usó contra objetivos en el Medio Oriente. Propagación a través de controladores infectados y phishing.
Acerca de njRAT (Bladabindi)
Numerosos ataques fueron reportados en 2014. Para deshabilitar su funcionalidad, se cerraron 4 millones de sitios al intentar filtrar el tráfico a través del dominio no-ip.com.
Para 2016, Softpedia informó que las campañas de spam como njRAT que las difundían estaban dirigidas a Discord. En 2020, también informó sobre la aparición de una descarga de VMware pirateada que estará disponible a través de Pastebin. Matar un proceso bloquea el sistema.
En 2017, un sitio web islámico fue pirateado para mostrar una descarga de actualización de Adobe Flash Player falsa, que descargó un troyano.
Novedades de njRAT v0.7
- Robar contraseñas almacenadas en navegadores web u otras aplicaciones.
- Grabar pulsaciones de teclas.
- Sistema de grabación de cámara y micrófono.
- Registro del sistema operativo.
- Abra Process Manager para eliminar diferentes procesos.
- Abra un shell remoto, lo que permite que un atacante use los comandos del sistema.
- Manipular archivos.
- Capacidad para ejecutar archivos de forma remota desde URL o disco.
- Se conecta de forma remota al escritorio de la víctima oa la ventana activa.
- Vea la dirección IP, el nombre del sistema, el nombre de usuario, el sistema operativo, la fecha de instalación y el país de la víctima.
- Control remoto y visualización.
- Concha remota.
A menudo dirigido a individuos y organizaciones, se ha observado que se entrega a través de campañas de correo electrónico malicioso no solicitado (malspam), así como versiones armadas de software legítimo. Además, para reforzar el adagio de que las versiones armadas de herramientas maliciosas, incluida la propia RAT, no tienen «tiempo de ladrón», se han utilizado descargas que infringen los derechos de autor, como las obtenidas a través de redes de intercambio de archivos punto a punto, para entregarlos. a otros usuarios no éticos.
Intenta también: Descargar OctoSniff Gratis XBox y PSN Parser
Cómo njRAT entrega e infecta otros dispositivos
campaña publicitaria infectada
En 2010, se consideró que estas instalaciones finales usaban un tema común de seguimiento de envíos, imitando el popular servicio postal para entregar un archivo adjunto comprimido en zip con un script de base visual codificado llamado carga útil VBE.
Envía una cadena aleatoria de 10 caracteres a través de una publicación HTTP a un servidor de comando y control (C2), que responde con datos base64, que se guardan con la cadena en una clave de registro de Windows. La carga útil de VBE descarga su archivo ejecutable para obtener una URL codificada, que se guarda en el directorio de inicio de la víctima para su persistencia antes del lanzamiento.
Archivo de instalación malicioso
Al disfrazarlo como un instalador de aplicaciones legítimo cargado en un servicio de intercambio de archivos, el riesgo para las víctimas que descargan contenido de fuentes no oficiales es recibirlo de njRAT junto con la aplicación deseada.
Una vez ejecutada, la instalación continuará en primer plano mientras se colocan los scripts o ejecutables de Visual Basic y PowerShell en el directorio de inicio de la víctima para la persistencia y el lanzamiento para descargar esta carga útil.
Ahora, para evadir la detección, las cargas útiles de njRAT que están codificadas, ofuscadas y cifradas como archivos de imagen se alojan en servicios de intercambio de archivos como Microsoft OneDrive y DropBox. Esto se usa para reducir la probabilidad de bloqueo o detección, especialmente dado el uso de servicios que se usan con frecuencia dentro de la empresa y aparecen como tipos de archivos benignos que no se pueden inspeccionar.
Después de la descarga, se descodifica y descifra en un proceso legítimo y se inicia.
Servidor de mando y control (C&C)
Después de verse comprometido a través de uno de los diferentes métodos de entrega, la máquina de su víctima llamará a casa para amenazar al servidor C2 participante.
Disponible como Web perdonable y, a diferencia de las amenazas basadas en la web, no requiere ninguna configuración de servidor específica, proporciona una interfaz C2 simple que permite a los actores de amenazas interactuar fácilmente con las máquinas de las víctimas.
Ahora, según observaciones recientes, muchos actores de amenazas que lo implementan parecen preferir los nombres de host de DNS dinámico (DDNS) y, al hacerlo, pueden actualizar la dirección IP de C2, a la que se disuelve el nombre de host de DDNS sin reconstruir y redistribuir esta carga útil.
generador de carga útil
La aplicación de construcción fácil de usar proporciona una interfaz simple a través de la cual se pueden configurar las cargas útiles.
Además, para poder configurar la apariencia y los métodos de persistencia de los ejecutables maliciosos, a través de la carpeta de inicio de Windows o las claves de registro, el host C2 permite que las amenazas se «ubiquen» en el componente C2.
El método de entrega final depende de la sofisticación del atacante, especialmente si su conjunto de herramientas no parece ofrecer ningún tipo de envoltorio o cifrado.
Dado que existen algunas ofertas como servicio en foros y mercados clandestinos, como la oferta de cargas útiles njRAT «indetectables» preconstruidas y C2 preconfigurados, los inferiores pueden intentar entregar ejecutables «construidos» a las víctimas, que los ejecutables deben ser detectada por puntos finales y soluciones de seguridad de red.
Aquellos que pagan por el acceso a servicios preconfigurados o aquellos con funciones potentes emplean tácticas de evasión como el cifrado, el empaquetado de archivos binarios de malware y la elaboración de señuelos convincentes para maximizar las posibilidades de éxito de la campaña.
Intenta también: Descarga Sentry MBA (última versión) para Windows y Linux.
Consejos de seguridad para njRAT
- Considere bloquear la ejecución de intérpretes de secuencias de comandos como PowerShell y VBScript para evitar el uso indebido.
- Descarga aplicaciones de fuentes confiables.
- Informe a los usuarios la diferencia entre URL legítimas y maliciosas, como el uso de servicios DNS o la ciberocupación.
- Concientice a los usuarios sobre los riesgos de abrir archivos adjuntos de correo electrónico desconocidos y no solicitados.
Cómo el software antivirus no detecta njRAT
Viene con algunos trucos para evitar la detección por parte del software antivirus, como que utiliza múltiples ofuscadores .NET para bloquear su código. Otra técnica que utiliza es disfrazarse como un proceso crítico, lo que dificulta su eliminación de un sistema infectado al impedir que el usuario pueda apagarlo. Bladabindi RAT es similar a AndroRAT en que también desactiva los procesos pertenecientes al software antivirus, manteniéndolos ocultos. Además, sabe cómo detectar si se está ejecutando en una máquina virtual, lo que ayuda a los atacantes a establecer contramedidas contra todos los investigadores.
Para la propagación, es capaz de detectar discos duros externos conectados a través de USB. Una vez que se detecta dicho dispositivo, se copia a sí mismo y crea un acceso directo en la unidad adjunta.
Descargue njRAT gratis, la última versión 2022 (Windows, Kali Linux)
Bladabindi también se conoce como descarga njRAT a lo largo de los años. Recientemente se actualizó con nuevas versiones como 0.7, 0.7d y 0.8d.Todo esto trae grandes mejoras a la evasión antivirus.
Descarga de njRAT v0.7/v0.7d (más reciente)