Меню Затваряне

Как хакерите превземат компютри с njRAT [ПРИМЕР]

Обновена на 27.10.2021 от Questo

Чудили ли сте се как точно хакерите проникват в чужди компютри?

В тази статия ще разгледаме реален пример с един от най-популярните видове малуер, които престъпниците използват, за да поемат контрола над чужди устройства.

Ще разгледаме стъпка по стъпка процеса на заразяване с njRAT – софтуер за отдалечено управление, който се използва от хакерите, за да „превземат“ компютъра на своята жертва.

Какво е njRAT и защо е толкова масово използван

njRAT е популярен, защото с него се работи сравнително лесно. Софтуерът, който генерира зловредния код, е леснодостъпен. В интернет има предостатъчно статии и видеа с инструкции как всеки сам да си настрои кода така, че да може да го изпрати на своята жертва.

Според AnyRun (облачна услуга, която позволява да проверите дали даден файл е зловреден) броят на докладваните случаи на njRAT между октомври 2020 и октомври 2021 се е утроил до 15.8 хил. проби. Нито един друг вид зловреден код не отчита толкова голям ръст за същия период.

Това показва, че популярността на njRAT е нараснала значително през тези 12 месеца.

И има защо. След като е инсталиран на устройството, njRAT дава на престъпниците възможност да го управляват. Те могат да следят какво въвежда жертвата на клавиатурата, да включват и изключват уебкамерата, да виждат паролите, които жертвата използва.

Как става заразяването с njRAT

Ето един истински пример, при който заразяването става с линк. За илюстративност използвам скрийншотове от отварянето на зловредния файл в защитена среда на AnyRun.

Жервата получава линк, който изглежда да е като към документ в Google Docs.

Когато отвори линка, браузърът започва да сваля на устройството архивиран файл. В зависимост от настройките на браузъра той може първо да пита дали да свали файла или направо да започне да го сваля.

Архивираният файл съдържа в името си IMG. Това е за да заблуди жертвата, че файлът е изображение.

Но ако се вгледате в разширението на файла, виждате, че той всъщност е инсталационен (.exe).

Ако жертвата отвори инсталационния файл, njRAT се инсталира на устройството.

Социалното инженерство като тактика за атака

Разгледаният случай е добър пример за социално инженерство. Това е основният начин, по който хакерите заразяват чужди устройства със зловреден софтуер.

Обикновено njRAT се разпространява по имейл и замаскиран като най-обикновен документ за Word или пък PDF. Тук векторът на атака е зловреден линк към Google Docs.

Много компании използват Google Docs за работа, тъй като позволява лесна синхронизация и следене на промените, които се правят по документите. Ето защо един такъв линк няма да събуди подозрение в жертвата и тя с готовност ще го отвори.

Как да се предпазите

И тук спазването на киберхигиена е от голямо значение.

  • не отваряйте линкове и прикачени файлове от непознати, които са ви изпратени по имейл или през месинджър
  • проверявайте разширението на всеки файл, който отваряте
  • не кликайте върху pop-up прозорци, които ви карат да инсталирате нещо (например антивирусна програма или нова версия на Adobe Flash)
  • не използвайте кракери или друг софтуер за отключване на пиратски софтуер (или ако използвате, поне ги пускайте първо през някой скенер, за да проверите дали в тях има зловреден код)
  • използвайте антивирусен софтуер и защитна стена (firewall)

Подобни статии

2 Comments

Вашият отговор на dido Отказ

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *