Обновена на 27.10.2021 от Questo
Чудили ли сте се как точно хакерите проникват в чужди компютри?
В тази статия ще разгледаме реален пример с един от най-популярните видове малуер, които престъпниците използват, за да поемат контрола над чужди устройства.
Ще разгледаме стъпка по стъпка процеса на заразяване с njRAT – софтуер за отдалечено управление, който се използва от хакерите, за да „превземат“ компютъра на своята жертва.
Какво е njRAT и защо е толкова масово използван
njRAT е популярен, защото с него се работи сравнително лесно. Софтуерът, който генерира зловредния код, е леснодостъпен. В интернет има предостатъчно статии и видеа с инструкции как всеки сам да си настрои кода така, че да може да го изпрати на своята жертва.
Според AnyRun (облачна услуга, която позволява да проверите дали даден файл е зловреден) броят на докладваните случаи на njRAT между октомври 2020 и октомври 2021 се е утроил до 15.8 хил. проби. Нито един друг вид зловреден код не отчита толкова голям ръст за същия период.
Това показва, че популярността на njRAT е нараснала значително през тези 12 месеца.
И има защо. След като е инсталиран на устройството, njRAT дава на престъпниците възможност да го управляват. Те могат да следят какво въвежда жертвата на клавиатурата, да включват и изключват уебкамерата, да виждат паролите, които жертвата използва.
Как става заразяването с njRAT
Ето един истински пример, при който заразяването става с линк. За илюстративност използвам скрийншотове от отварянето на зловредния файл в защитена среда на AnyRun.
Жервата получава линк, който изглежда да е като към документ в Google Docs.
Когато отвори линка, браузърът започва да сваля на устройството архивиран файл. В зависимост от настройките на браузъра той може първо да пита дали да свали файла или направо да започне да го сваля.
Архивираният файл съдържа в името си IMG. Това е за да заблуди жертвата, че файлът е изображение.
Но ако се вгледате в разширението на файла, виждате, че той всъщност е инсталационен (.exe).
Ако жертвата отвори инсталационния файл, njRAT се инсталира на устройството.
Социалното инженерство като тактика за атака
Разгледаният случай е добър пример за социално инженерство. Това е основният начин, по който хакерите заразяват чужди устройства със зловреден софтуер.
Обикновено njRAT се разпространява по имейл и замаскиран като най-обикновен документ за Word или пък PDF. Тук векторът на атака е зловреден линк към Google Docs.
Много компании използват Google Docs за работа, тъй като позволява лесна синхронизация и следене на промените, които се правят по документите. Ето защо един такъв линк няма да събуди подозрение в жертвата и тя с готовност ще го отвори.
Как да се предпазите
И тук спазването на киберхигиена е от голямо значение.
- не отваряйте линкове и прикачени файлове от непознати, които са ви изпратени по имейл или през месинджър
- проверявайте разширението на всеки файл, който отваряте
- не кликайте върху pop-up прозорци, които ви карат да инсталирате нещо (например антивирусна програма или нова версия на Adobe Flash)
- не използвайте кракери или друг софтуер за отключване на пиратски софтуер (или ако използвате, поне ги пускайте първо през някой скенер, за да проверите дали в тях има зловреден код)
- използвайте антивирусен софтуер и защитна стена (firewall)
Абе сърфиране в интернет само през Vbox :))
Хай