L'ANALISI TECNICA

Il trojan njRAT ruba le credenziali di accesso bancarie, anche in Italia: i dettagli

Una nuova variante del trojan njRAT sta prendendo di mira le utenze italiane con una campagna malspam mirata a rubare credenziali di accesso bancarie e dati personali. Ecco come riconoscere la minaccia e i consigli per difendersi

24 Gen 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Una nuova campagna malspam a tema banking sta veicolando il malware njRAT interessando anche caselle di posta elettronica italiane.

NjRat è un programma classificato come RAT (trojan di accesso remoto) sviluppato in .NET che prende di mira i sistemi basati su Windows. Se installato, può consentire ad attori criminali di raccogliere informazioni sui sistemi colpiti, carpire credenziali e dati personali oltre che scaricare e installare ulteriore codice malevolo, il tutto sotto il controllo di server remoti presidiati.

Per tutti questi motivi è vivamente consigliato di rimuovere un’eventuale infezione il prima possibile per evitare di subire violazioni di privacy e tentativi di frodi bancarie.

Questo malware noto anche come “Bladabindi” o “Njw0rm” è solitamente distribuito, camuffato da archivi compressi, documenti MS Office, file JavaScript, PDF e eseguibili tramite download di software di terze parti o siti web non ufficiali, strumenti di cracking, falsi aggiornamenti software o come in questo caso tramite campagne malspam.

njRAT: analisi di un campione rilevato

Il noto cacciatore di malware JAMEWT_MHT ha condiviso, per l’appunto, un campione di una variante njRAT trasmesso come archivio .RAR allegato ad una e-mail di richiesta conferma di coordinate bancarie.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy

Immagine

L’allegato .RAR conterrebbe un file .bat (“doc-transfer_form.bat”, in realtà un PE32 eseguibile con icona Adobe PDF) che, se avviato, attiverebbe la catena d’infezione con l’ausilio di PowerShell e i comandi Windows legittimi conhost.exe e schtasks.exe.

Immagine

Dallo screenshot condiviso del record di configurazione si evince come il payload di njRAT nella versione 2.0 si installi all’interno della directory “TEMP” del profilo utente, garantisca persistenza impostando l’avvio automatico tramite la chiave di registro di Windows e instauri una comunicazione con un host C2 di controllo all’indirizzo 5.2.68.[85]:5552.

Immagine

Come proteggersi

È noto come njRAT, a seguito del suo codice sorgente trapelato nel 2013, sia stato disponibile negli anni in diverse varianti su forum e mercati underground, consentendo agli attaccanti di svolgere una vasta gamma di attività tipiche di un infostelaer, keylogger e backdoor e di colpire dispositivi privati e aziendali eludendo spesso i controlli di sicurezza con tecniche di offuscamento.

Pertanto, è bene integrare le proprie soluzioni di sicurezza software con ulteriori accorgimenti di protezione e buon senso:

  1. aggiornare abitualmente sistema operativo e software, utilizzando funzioni e strumenti ufficiali non di terze parti;
  2. evitare di scaricare versioni pirata di software;
  3. non aprire in nessun caso allegati e-mail che richiedano l’attivazione di macro. Se si riceve una e-mail da un indirizzo sconosciuto o sospetto, i relativi file allegati o inclusi in collegamenti non dovrebbero mai essere aperti con superficialità;
  4. utilizzare password forti e usare l’autenticazione a due fattori dove possibile;
  5. effettuare in modo regolare il backup dei file.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2