2012’de keşfedilen bir uzaktan erişim truva atı olan njRAT’ın, TeamViewer kisvesi altında güvenliği ihlal edilmiş cihazlardan veri çaldığı tespit edildi. TeamViewer, diğer hizmetler arasında uzaktan destek ve kontrol erişimi sunan bir yazılım uygulamasıdır. TeamViewer kullanıcılarını hedef alan njRAT’ın, şifreleri çalmanın yanı sıra tuş vuruşlarını yakaladığı ve ekran görüntüleri aldığı tespit edildi.
TeamViewer kullanıcılarını hedefleyen njRAT
TeamViewer kullanıcılarını hedefleyen njRAT, web kamerasına ve mikrofona erişirken ve güvenliği ihlal edilmiş cihazlardan veri sızdırırken bulundu. njRAT, Windows işletim sistemi sürümü, hizmet paketi, kullanıcı adı, sistem mimarisi, kayıt defteri anahtarları ve hizmet paketi dahil olmak üzere sistem bilgilerini çalabilir.
Erişilen veriler, sızma için base64 kodlama şeması kullanılarak kodlandı. TeamViewer’ı hedefleyen njRAT, güvenliği ihlal edilmiş cihaza hem kendisini hem de yasal TeamViewer uygulamasını indirdi.
Ancak, kullanıcı meşru TeamViewer uygulamasına erişemeden önce njRAT, programlandığı kötü amaçlı etkinlikleri gerçekleştirir.
Bir Cyble blogu, Bladabindi olarak da adlandırılan njRAT’ın öncelikle Orta Doğu ülkelerindeki kuruluşlara karşı kullanıldığını doğruladı. njRAT, tuş vuruşlarını izlemek için özel bir iş parçacığı oluşturdu. GetAsyncKeyState işlevi.
“İş parçacığı, her yineleme arasında 1 ms’lik bir gecikme aralığı ile sürekli olarak çalışır ve tuş vuruşlarının sürekli olarak izlenmesine ve yakalanan verilerin depolanmasına izin verir,” Cyble blog gönderisi eklendi.
TeamViewer uygulamasının kendisini yaymasını hedeflemenin yanı sıra, njRAT aynı şeyi yapmak için kimlik avı kampanyaları ve arabadan indirmeler kullanır.
Cyble Research and Intelligence Labs’tan (CRIL) araştırmacılar, njRAT kötü amaçlı yazılım örneklerini analiz ettiler ve bunun 32 bitlik bir Akıllı Yükleyici olduğunu kaydettiler. Cyble blogu, “Yürütme sırasında, yükleyici Windows klasörüne iki dosya bırakır ve bu dosyaların adlarında” TeamViewer “terimi bulunur” dedi.
Cyble blogu ayrıca, “Windows klasörüne bırakılan dosyalardan biri njRAT, diğeri ise gerçek bir TeamViewer uygulamasıdır” diye ekledi.
Meşru TeamViewer uygulaması, “TeamViewer Starting.exe” adlı njRAT içeren kötü amaçlı dosyayla yürütülür. TeamViewer uygulamasının kurulumunu aşağıda gösterildiği gibi Kabul Etmenizi ve Bitirmenizi isteyen bir kullanıcı penceresi gösterecektir –
TeamViewer kullanıcılarını hedefleyen kaçamak njRAT
TeamViewer kullanıcılarını hedef alan njRAT, kendisini fark edilmesini zorlaştıracak şekilde kurardı. Bunu meşru bir Windows dosyasına benzer bir dosya adı kullanarak yapar.
Kendini başlatmak için TeamViewer’ı kullanan njRAT, aynı cihazda aynı enfeksiyonun iki kez başlatılmasını önlemek için bir muteks oluşturdu. CRIL araştırmacıları tarafından bulunan muteksin adı “01b5fcf8ce2fab8868e80b6c1f912fe” ve njRAT ikili dosyasına kodlandı.
Komuta ve Kontrol sunucusundan komut almak için güvenlik ayarları yapılırken ve bir güvenlik duvarı düzenlemesi oluşturulurken bulundu. TeamViewer’ı hedefleyen njRAT, onu kontrol eden bilgisayar korsanlarından herhangi bir komut almadığı takdirde uykuda kalırdı.
TeamViewer’ı hedefleyen njRAT, her sistem açılışında otomatik olarak çalışması için kendisini başlangıç dizinine de kopyaladı.
Cyble, njRAT kötü amaçlı yazılımından kaynaklanan risk ve tehdidi önlemek için adımlar kaydetti. Uygulamaları üçüncü taraf web sitelerinden veya açılır pencerelerden değil, resmi uygulama mağazalarından indirin. Otomatik güncellemelerin etkili olduğundan emin olun ve güncellemeleri manuel olarak ve düzenli olarak kontrol edin.
Her cihazda virüsten koruma programını çalıştırın ve güvenilir olmayan veya alıcıyla ilgili olmayan e-postalardaki hiçbir bağlantıya veya dosyaya tıklamayın.