njRAT tüm bölgeyi tehdit ediyor

njrat-remote-access-trojanYeni bir RAT (Remote Access Trojan) zararlı yazılımı browserda saklanan verileri çalıyor, tuş vuruşlarını kaydediyor ve webcamleri uzaktan aktive edebiliyor. Hedef ise Türkiye’nin de aralarında bulunduğu orta doğu ülkeleri.

Adına “njRAT” denilen zararlı yazılım özellikle devlet, telekominikasyon ve enerji sektöründe bulunan orta doğu ülkelerindeki hedefleri seçiyor. Analizlere göre saldırganlar “authorization.exe” adlı bir dosyayı Microsoft Word veya PDF formatında dosyalar içerisine gömerek ulaştırıyorlar. Dosyalar mail yolu ile geliyor. Fakat kurban dosyayı çalıştırdıktan sonra zararlı yazılım kendisini USB yoluyla dağıtabiliyor. Ayrıca bulaştığı ağa uzaktan erişim de sağlıyor.

Buna ek olarak tuş vuruşlarını kaydetmek, bulaştığı sistemlerin kameralarını kontrol etmek, şifrelerini çalmak, istenilen dosyaları göndermek/almak, registry üzerinde değişiklik gibi pek çok özellik zararlı yazılım ile birlikte aktive oluyor. Zararlı yazılım ağdaki bir sisteme bulaştıktan sonra saldırgan o sistem njrat-control-anelüzerinden tüm ağı tarıyarak diğer hedefleri tanımlayarak daha özellleştirilmiş saldırılar yapabiliyor.

 

njRAT uzaktaki bir yönetim merkezine (C&C sunucusu) bağlanarak şifreli olarak haberleşiyor, bilgi gönderiyor, komut alıyor. Her bulaştığı sistemi, ağı tanımlarken kullanılan farklı üretilmiş bir kod oluyor. Yönetim merkezi bulaştığı sistemlerin seri numaraları, sistem isimleri, sistem lokasyonlarını, işletim sistemi ismini ve versiyonlarını çekmeyi ihmal etmiyor.

njRAT zararlı yazılımını barındıran sunuculardan ikisi Vietnam ve İngiltere olarak belirlendi. Fakat bu gerçek orjin hakkında pek net bilgi vermiyor. Kaynak herhangi bir ülke olabilir.