Grazie alla scoperta di Cyble Research & Intelligence Labs è stato possibile far luce su alcune tecniche adottate dai cybercriminali per diffondere il malware njRAT.
Stiamo parlando di un agente malevolo duttile, capace di compiere azioni come furto di password, keylogging, accesso a webcam o microfoni e non solo. Di fatto, questo malware, costituisce una considerevole minaccia sotto molti aspetti.
A rendere ancora più preoccupante il suo operato è anche la modalità con cui viene diffuso. I ricercatori, infatti, hanno scoperto che i criminali informatici utilizzano una versione fake dell’app TeamViewer per facilitare l’installazione del software malevolo.
Sfruttando l’adozione diffusa della suddetta app, i cybercriminali ingannano le ignare vittime, inducendole a scaricare ed eseguire i file dannosi.
Il malware njRAT è duttile e pericoloso: ecco come sfrutta una versione falsa di TeamViewer per diffondersi
Il malware njRAT non è di certo una novità per chi lavora nella sicurezza informatica. Inizialmente scoperto nel 2012-2013, ha preso di mira principalmente l’area del Medio Oriente.
Dopo un’analisi più approfondita, i ricercatori CRIL hanno identificato uno Smart Installer a 32 bit come meccanismo di distribuzione del malware. Il programma di in questione rilascia due file nella cartella Windows, uno dei quali è njRAT stesso, mentre l’altro è una vera applicazione TeamViewer. Questo tipo di camuffamento consente al malware di operare senza essere rilevato all’interno dei sistemi compromessi.
Una volta eseguito, il programma di installazione attiva il malware njRAT e contemporaneamente avvia l’applicazione legittima di TeamViewer, creando una finestra di richiesta utente ingannevole che richiede all’utente di procedere con l’installazione.
Per garantire la persistenza, il malware modifica le impostazioni di sistema, inclusa la variabile di ambiente SEE_MASK_NOZONECHECKS del registro di Windows, che va ad inibire le richieste di avviso di sicurezza. Inoltre, crea voci di esecuzione automatica, garantendo che lo stesso venga eseguito automaticamente ogni volta che il sistema si avvia.
Al fine di evitare problemi di questo tipo, il consiglio è di affidarsi solo da software scaricato dal sito ufficiale dell’applicazione.