Buzz
Còn được gọi là Bladabindi, njRAT đã xuất hiện từ khoảng năm 2013 và là một trong những loại phần mềm độc hại phổ biến nhất hiện nay. Nó được tích hợp trong .NET Framework, cho phép kẻ tấn công kiểm soát từ xa các hệ thống bị nhiễm, sử dụng DNS động cho Command-and-Control (C&C) và sử dụng giao thức TCP tùy chỉnh trên cổng cấu hình để giao tiếp.
Ransomware njRAT có khả năng đánh cắp tiền ảo
Được gọi là njRAT Lime Edition, phiên bản mới của phần mềm độc hại này hỗ trợ lây lan ransomware, Bitcoin grabber, và tấn công từ chối dịch vụ DDoS. Nó cũng có khả năng ghi lại những phím nhấn, lây lan qua USB, đánh cắp mật khẩu và khóa màn hình.
Phần mềm độc hại sẽ liệt kê các tiến trình đang chạy trên máy tính nạn nhân và sử dụng thông tin này để theo dõi ví tiền ảo, tài khoản ngân hàng, thẻ ghi nợ và thẻ tín dụng của người dùng. Tiền ảo và thông tin tài chính vẫn là mục tiêu hàng đầu của tội phạm mạng.
Các nhà nghiên cứu của Zscaler cho biết một khi hệ thống bị nhiễm, phần mềm độc hại này sẽ kiểm tra máy ảo và môi trường sandbox, thu thập thông tin hệ thống như tên hệ thống, tên người dùng, phiên bản Windows và kiến trúc, sự có mặt của webcam, các cửa sổ đang hoạt động, thông tin về CPU, card video, bộ nhớ, thông tin về phân vùng, cài đặt chống virus và thời gian nhiễm bệnh.
Ngoài ra, phần mềm độc hại này cũng theo dõi các tiến trình hệ thống liên quan đến bảo mật và cố gắng ngăn chúng để không bị phát hiện.
Các chuyên gia bảo mật cũng cho biết ransomware njRAT mới có khả năng tiến hành các cuộc tấn công ARME và Slowloris DDoS. Công cụ Slowloris cho phép tấn công một máy chủ với băng thông tối thiểu, đồng thời vẫn giữ nhiều kết nối tới máy chủ web đích. Các cuộc tấn công ARME cũng có thể gây ra sự cạn kiệt bộ nhớ của máy chủ.
Khi nhận lệnh từ C&C, phần mềm độc hại có thể xóa cookie Chrome và các đăng nhập đã lưu, tắt màn hình, sử dụng TextToSpeech để phát âm văn bản từ C&C, khôi phục chức năng chuột bình thường, kích hoạt trình quản lý tác vụ, thay đổi hình nền, đăng nhập từ cửa sổ foreground, chia sẻ và tải file thông qua phần mềm torrent, và khởi động các cuộc tấn công Slowloris.
Ngoài ra, phần mềm độc hại này còn gửi thông báo đòi tiền chuộc, khởi động lại máy tính, vô hiệu hóa Command Prompt, xóa các bản ghi sự kiện, tiêu diệt các tiến trình giám sát Bitcoin, khởi động botkiller, gửi thông tin hệ thống (CPU / GPU / RAM), kiểm tra ví điện tử Bitcoin, tải và cấu hình plugin với máy chủ C&C.
njRAT cũng có khả năng lây nhiễm như worm. Nó có thể theo dõi các ổ USB được kết nối và sao chép, tạo phím tắt bằng biểu tượng thư mục.
Chức năng ransomware của phần mềm độc hại mã hóa các tập tin của người dùng và thêm phần mở rộng .lime cho chúng. Phần mềm độc hại sử dụng thuật toán đối xứng AES-256 để mã hóa, có thể sử dụng cùng một khóa để giải mã.
'Trong lần đầu tiên Lime được khởi chạy, nó sẽ gọi hàm RandomString(), được sử dụng để tạo một khóa AES. Hàm này tạo một mảng 50-byte từ chuỗi đầu vào sử dụng một chỉ mục ngẫu nhiên, và sử dụng hàm random () để lấy một ký tự và lưu nó vào chuỗi đầu ra', theo các nhà nghiên cứu Zscaler giải thích.
Ngoài ra các nhà nghiên cứu cũng phát hiện các hàm để giải mã tập tin bị mã hóa bởi ransomware Lime, được bao gồm trong phần mềm độc hại.
Như bạn đã biết, hiện nay có rất nhiều sàn giao dịch tiền ảo được thành lập để đáp ứng nhu cầu mua bán, trao đổi tiền ảo trên khắp thế giới, mỗi sàn đều có những ưu điểm riêng của mình. Hãy chọn lựa sàn giao dịch tiền ảo uy tín và phù hợp nhất cho mình.
Snapchat là một ứng dụng tin nhắn hình ảnh rất phổ biến trên toàn thế giới. Để cạnh tranh với các ứng dụng nhắn tin, trò chuyện, mạng xã hội khác trên di động và máy tính, Snapchat vừa cập nhật tính năng cho phép gọi video nhóm lên đến 16 người, giúp người dùng có thể tổ chức cuộc họp trực tuyến với nhiều thành viên.
