njRAT kötü amaçlı yazılımı, keylogging, parola çalma, veri hırsızlığı, web kameralarına ve mikrofonlara erişim ve ek dosyalar indirme gibi kötü amaçlı etkinlikler gerçekleştirebilen ve sistem gizliliği ve güvenliği için önemli bir tehdit oluşturan bir uzaktan erişim trojenidir.
Son haberlerde, siber güvenlik araştırmacıları, tehdit aktörlerinin, njRAT kötü amaçlı yazılımı için bir dağıtım mekanizması olarak popüler uzak masaüstü destek yazılımı TeamViewer’ı kullandıklarını keşfettiler.
bu Bladabindi olarak da bilinen njRATetkilenen sistemlerin gizliliği, güvenliği ve bütünlüğü için önemli bir tehdit oluşturan bir uzaktan erişim truva atıdır.
Cyble Research & Intelligence Labs’ın (CRIL) yakın tarihli bulguları, tehdit aktörlerinin iyi bilinen uygulamalarla ilişkili güveni istismar etmek için kullandıkları aldatıcı taktiklere ışık tutuyor. Tehdit aktörleri, TeamViewer’ın yaygın olarak benimsenmesinden ve WireShark ve Process Hacker gibi diğer meşru araçlardan yararlanarak, şüphelenmeyen kullanıcıları kötü amaçlı dosyaları indirmeleri ve çalıştırmaları için kandırırlar.
njRAT kötü amaçlı yazılımı, ilk olarak 2012-2013’te keşfedildi, öncelikle Orta Doğu ülkelerindeki kuruluşları hedef aldı. Bu truva atı, keylogging, parola çalma, veri hırsızlığı, web kameralarına ve mikrofonlara erişim ve ek dosyalar indirme dahil olmak üzere bir dizi kötü amaçlı etkinlik gerçekleştirme yeteneğine sahiptir.
yaklaştıkça analiz, CRIL araştırmacıları, njRAT kötü amaçlı yazılımı için dağıtım mekanizması olarak 32 bitlik bir Akıllı Yükleyici belirledi. Yükleyici, Windows klasörüne biri njRAT kötü amaçlı yazılımının kendisi, diğeri ise gerçek bir TeamViewer uygulaması olan iki dosya bırakır. Bu akıllı kamuflaj, kötü amaçlı yazılımın güvenliği ihlal edilmiş sistemlerde fark edilmeden çalışmasına olanak tanır.
Yürütüldükten sonra, yükleyici şu komutu tetikler: njRAT kötü amaçlı yazılım ve eş zamanlı olarak meşru TeamViewer uygulamasını başlatarak, kullanıcıdan TeamViewer kurulumuna devam etmesini isteyen aldatıcı bir kullanıcı bilgi istemi penceresi oluşturur. Kullanıcı, meşru yazılım yüklediğine inanırken, njRAT, kötü amaçlı işlemlerini güvenliği ihlal edilmiş sistem içinde sessizce yürütür.
Kalıcılığı sağlamak için njRAT, Windows kayıt defterindeki “SEE_MASK_NOZONECHECKS” ortam değişkeni dahil olmak üzere sistem ayarlarını değiştirerek güvenlik uyarı istemlerini atlar. Ek olarak, sistem kayıt defterinde otomatik çalıştırma girişleri oluşturur ve kendisini başlangıç dizinine kopyalayarak sistem her açıldığında otomatik olarak çalışmasını garanti eder.
njRAT truva atı ayrıca, yakalanan verilerin sürekli izlenmesi ve saklanması ile özel bir iş parçacığını kullanarak tuş vuruşlarını yakalayarak tuş günlüğüne de girer. Çeşitli sistem bilgilerini toplar ve veri hırsızlığı için base64 kodlama şemasını kullanarak kodlar.
Kötü amaçlı yazılım, toplanan bilgileri iletmek için bir Komuta ve Kontrol (C&C) sunucusuyla bağlantı kurar ve daha fazla kötü amaçlı eylem için C&C sunucusundan gelen talimatları bekler.
Meşru istismar TeamViewer gibi yazılımlar tehdit aktörlerinin kötü amaçlı yazılım yaymadaki becerikliliğini ve uyarlanabilirliğini vurgular. Kullanıcılar kendilerini bu tür saldırılardan korumak için önlem almalıdır.
Öneriler arasında yalnızca resmi web sitelerinden araç ve uygulama indirme, otomatik yazılım güncellemelerini etkinleştirme, saygın antivirüs ve internet güvenlik yazılımı kullanma ve güvenilmeyen bağlantıları veya e-posta eklerini açarken dikkatli olunması yer alır.
ALAKALI HABERLER
- TeamViewer, 2016’da Çinli Hackerlar Tarafından Hedef Alındı
- Kötü amaçlı TeamViewer uygulaması aracılığıyla kullanıcıları hedefleyen TeamSpy kötü amaçlı yazılımı
- TeamViewer’ın truva atına dönüştürülmüş sürümüyle elçilikleri hedefleyen bilgisayar korsanları
- VirusTotal, Bilgisayar Korsanları Tarafından Kötü Amaçlı Yazılım Yaymak İçin En Çok İstismar Edilen Uygulamaları Ortaya Çıkardı