Qui y'a-t-il de plus dangereux qu'un hacker ? Un autre hacker sans doute comme l'a montré une étude menée par Cybereason. Il n'est ainsi pas rare de voir des outils de piratage existants utilisés par des personnes malveillantes à l'insu d'autres hackers. « Les attaquants appâtent d'autres pirates en publiant les outils reconditionnés sur des forums de piratage », a expliqué Amit Serper, vice président et responsable de la recherche, de la sécurité et la stratégie de Cybereason. Parmi les outils utilisés, le logiciel malveillant njRat sort du lot. « Nous avons trouvé une campagne de piratage généralisée qui utilise le cheval de Troie njRat pour détourner la machine de la victime, donnant aux acteurs de la menace un accès complet qui peut être utilisé pour tout, de la conduite d'attaques DDoS au vol de données sensibles », peut-on lire dans l'étude.
Populaire au Moyen-Orient, njRat permet de s'introduire sur un système pour enregistrer des frappes ou prendre des captures d'écran mais aussi manipuler et extraire des fichiers ou encore enregistrer à l'insu de l'utilisateur les flux audio et video (webcam). « Le processus semble se faire passer pour une application Windows légitime (explorer.exe). Cependant, lors de la vérification de son hachage sur VirusTotal, l'échantillon semble être très nouveau, de quelques heures à l'époque. Dans l'environnement affecté, il semble que njRat contacte deux adresses IP : l'une d'entre elles nous était inconnue à l'époque (capeturk.com) et l'autre (anandpen.com) un site web compromis de un fabricant indien de fournitures de bureau », indique Cybereason.
Des dizaines de samples nJRat en circulation
Plusieurs dizaines de samples de nJRat sont en circulation d'après le spécialiste en solutions de cybersécurité, hébergées sur un même serveur et ciblant activement leurs victimes. « Une fois que le loader a déballé le workload, il supprime le fichier du chargeur d'origine et continue son action. Le malware créé un nouveau répertoire,% USER% \ AppData \ Roaming \ Intel Corporation \ Intel (R) Common User Interface \ 8.1.1.7800 \ et l'utilisera comme répertoire intermédiaire. Le chargeur njRat continue de déposer des fichiers dans ce répertoire intermédiaire, supprimant finalement la charge utile principale de njRat avec un nom aléatoire. Le malware modifie le nom de fichier aléatoire en explorer.exe, le copie dans% AppData% \ roaming et l'exécute à partir de là. Après son exécution, le faux explorer.exe (la charge utile njRat) exécute une commande netsh pour communiquer avec le monde extérieur ».
Après avoir alteré le pare-feu Windows (via la commande netsh firewall add allowedprogram 'C:\Users\user\AppData\Roaming\explorer.exe' 'explorer.exe'), njRat contacte ensuite plusieurs serveurs pour recevoir des instructions de commandes et des fichiers de la part des pirates. « Après examen de l'environnement, il est clair que de nombreux outils de piratage et de pénétration ont été déployés dans divers chemins sur la machine cible. En examinant les hachages sur le réseau, nous avons pu voir que tous les outils de piratage présentaient des fissures et tous été infectés par cette campagne njRat », indique Cybereason.