Njrat

njRAT, également appelé Bladabindi^[1], est un cheval de Troie ou cheval de Troie d'accès à distance qui permet au détenteur du programme de contrôler l'ordinateur de l'utilisateur final. Il a été découvert pour la première fois en juin 2013 avec certaines variantes remontant à novembre 2012. Il a été réalisé par une organisation de piratage informatique de différents pays appelée Sparclyheason et était souvent utilisé contre des cibles au Moyen-Orient. Il peut être propagé par l'hameçonnage et les lecteurs infectés^[2]. Il est classé « sévère » par Microsoft Malware Protection Center^[1].

Logo de njRAT.

À propos du programme et de son emplacement

Le programme a été développé par une organisation de hackers appelée Sparclyheason dont les membres identifiés sont : Njq8, MaSad, John Gietzen, DarkSel, Hector Cowlover, RockingWithTheBest, CoBrAxXx, Viotto, entre autres.

Un afflux d'attaques de njRAT a été signalé en Inde en juillet 2014^[3]. Afin de désactiver les capacités de njRAT, Microsoft a supprimé quatre millions de sites Web en 2014 en tentant de filtrer le trafic via les domaines no-ip.com.

En mars 2016, Softpedia a signalé que des campagnes de spam diffusant des chevaux de Troie d'accès à distance tels que njRAT visaient Discord (logiciel)^[4]. En octobre 2016, Softpedia a également signalé l'apparition d'un téléchargement VMware fissuré qui téléchargerait njRAT via Pastebin . Terminer le processus mettrait l'ordinateur en panne^[5].

Un site Web de l' État islamique a été piraté en mars 2017 pour afficher un faux téléchargement de la mise à jour du lecteur Adobe Flash, qui a téléchargé le cheval de Troie njRAT^[6].

Caractéristiques

njRAT peut :

• Remote dans le bureau de la victime ou dans la fenêtre active
• Voir l'adresse IP de la victime, le nom complet de l'ordinateur, le nom d'utilisateur complet, le système d'exploitation, la date d'installation et le pays
• Exécuter à distance un fichier à partir du disque ou de l'URL
• Manipuler des fichiers
• Ouvrir un shell distant, permettant à l'attaquant d'utiliser la ligne de commande
• Ouvrir un gestionnaire de processus pour tuer des processus
• Manipuler le registre du système
• Enregistrez la caméra et le microphone de l'ordinateur
• Enregistrer les frappes
• Voler les mots de passe stockés dans les navigateurs ou dans d'autres applications

Notes et références

1. (en-US) « MSIL/Bladabindi threat description - Windows Defender Security Intelligence », sur www.microsoft.com (consulté le 5 juin 2017)
2. (en-US) « NJRat », NJCCIC,‎ 19 janvier 2017 (lire en ligne, consulté le 2 juin 2017)
3. (en-US) « Hacking virus 'Bladabindi' targets Windows users in India, steals personal info: Cert-In- Technology News, Firstpost », sur Tech2 (consulté le 5 juin 2017)
4. (en) Catalin Cimpanu, « VoIP Gaming Servers Abused to Spread Remote Access Trojans (RATs) », softpedia,‎ 20 octobre 2016 (lire en ligne, consulté le 5 juin 2017)
5. (en) Catalin Cimpanu, « RAT Hosted on PasteBin Leads to BSOD », softpedia,‎ 30 octobre 2016 (lire en ligne, consulté le 5 juin 2017)
6. (en-US) « Hackers Hit Islamic State Site, Use It to Spread Malware », Motherboard,‎ 30 mars 2017 (lire en ligne, consulté le 5 juin 2017)

Lien externe

•   Portail de l’informatique