Una nuova campagna malspam a tema banking sta veicolando il malware njRAT interessando anche caselle di posta elettronica italiane.
NjRat è un programma classificato come RAT (trojan di accesso remoto) sviluppato in .NET che prende di mira i sistemi basati su Windows. Se installato, può consentire ad attori criminali di raccogliere informazioni sui sistemi colpiti, carpire credenziali e dati personali oltre che scaricare e installare ulteriore codice malevolo, il tutto sotto il controllo di server remoti presidiati.
Per tutti questi motivi è vivamente consigliato di rimuovere un’eventuale infezione il prima possibile per evitare di subire violazioni di privacy e tentativi di frodi bancarie.
Questo malware noto anche come “Bladabindi” o “Njw0rm” è solitamente distribuito, camuffato da archivi compressi, documenti MS Office, file JavaScript, PDF e eseguibili tramite download di software di terze parti o siti web non ufficiali, strumenti di cracking, falsi aggiornamenti software o come in questo caso tramite campagne malspam.
Indice degli argomenti
njRAT: analisi di un campione rilevato
Il noto cacciatore di malware JAMEWT_MHT ha condiviso, per l’appunto, un campione di una variante njRAT trasmesso come archivio .RAR allegato ad una e-mail di richiesta conferma di coordinate bancarie.
L’allegato .RAR conterrebbe un file .bat (“doc-transfer_form.bat”, in realtà un PE32 eseguibile con icona Adobe PDF) che, se avviato, attiverebbe la catena d’infezione con l’ausilio di PowerShell e i comandi Windows legittimi conhost.exe e schtasks.exe.
Dallo screenshot condiviso del record di configurazione si evince come il payload di njRAT nella versione 2.0 si installi all’interno della directory “TEMP” del profilo utente, garantisca persistenza impostando l’avvio automatico tramite la chiave di registro di Windows e instauri una comunicazione con un host C2 di controllo all’indirizzo 5.2.68.[85]:5552.
Come proteggersi
È noto come njRAT, a seguito del suo codice sorgente trapelato nel 2013, sia stato disponibile negli anni in diverse varianti su forum e mercati underground, consentendo agli attaccanti di svolgere una vasta gamma di attività tipiche di un infostelaer, keylogger e backdoor e di colpire dispositivi privati e aziendali eludendo spesso i controlli di sicurezza con tecniche di offuscamento.
Pertanto, è bene integrare le proprie soluzioni di sicurezza software con ulteriori accorgimenti di protezione e buon senso:
- aggiornare abitualmente sistema operativo e software, utilizzando funzioni e strumenti ufficiali non di terze parti;
- evitare di scaricare versioni pirata di software;
- non aprire in nessun caso allegati e-mail che richiedano l’attivazione di macro. Se si riceve una e-mail da un indirizzo sconosciuto o sospetto, i relativi file allegati o inclusi in collegamenti non dovrebbero mai essere aperti con superficialità;
- utilizzare password forti e usare l’autenticazione a due fattori dove possibile;
- effettuare in modo regolare il backup dei file.
