É um fato conhecido que os criminosos cibernéticos querem garantir uma porta de entrada para os sistemas computacionais domésticos e empresariais. As ferramentas disponíveis da deep web e também são muito fáceis de serem encontradas e isso também não é uma surpresa. No entanto, nunca deixa de surpreender o quão fácil é adquirir um pacote de malware quase personalizado, sob demanda, para que outros criminosos possam contratar este tipo de ferramenta sem ter que investir tempo em criar os códigos maliciosos. É a indústria do cibercrime em funcionamento.
O njRAT (RAT é Remote Access Tool) é uma estrutura de trojan que compreende muitos recursos que permitem o reconhecimento abrangente de um sistema infectado. Tudo o que um criminoso precisa fazer para isso é criar um software cliente (também conhecido como payload – carga útil) e fazer com que a vítima possa executá-lo em sua máquina. Todas as funções disponíveis apenas em alguns cliques para ser adicionado (toda ação disponível precisa ser acionada manualmente pelo atacante, neste caso).
Assim que o payload for executado em um sistema, o atacante tem carta branca para agir: ele pode forçar o computador a acessar determinados sites (que podem ser atacados com malwares adicionais), e ter acesso total à estrutura de diretórios do sistema. Se ele desejar, o malware também pode ser propagado através de unidades USB. Isso novamente colocaria um atacante hipotético em uma posição para plantar um backdoor em uma rede da empresa. Esta possibilidade torna ainda mais importante regular o uso de tais dispositivos, a fim de evitar um comprometimento acidental ou intencional.
A versão atual foi batizada de Lime Edition e possui algumas características adicionais, entre elas um captador de Bitcoin. Há também um recurso que permite que a pessoa que controla os PCs comprometidos use todas as máquinas infectadas para executar um ataque DDoS (negação de serviço) contra um determinado sistema (por exemplo, um servidor web). Apenas alguns cliques são necessários para que todas as máquinas controladas inundem um determinado alvo com solicitações até não conseguir responder. Além disso, a ferramenta agora vem com um módulo de ransomware que atribuiu aos criminosos a capacidade de criptografar um sistema de forma remota e exigir um pagamento de resgate. Os arquivos criptografados possuem a extensão *. Lime.
O malware criado pela ferramenta njRAT foi detectado Win32.Malware.Bavypys.A e o uso de um componente AntiRansomware de uma solução antivírus pode interromper sua atividade. O ideal é confirmar se a solução utilizada possui esta capacidade.
* Tim Berghoff é especialista em Segurança Digital da G Data
