njRAT木马新变种增加勒索软件和比特币钱包窃取功能

njRAT，也称为 Bladabindi，是一种远程访问木马 (RAT)，于 2013 年首次出现，并迅速成为最流行的恶意软件家族之一。 它为命令和控制 (C&C) 服务器使用动态 DNS，并通过可配置端口使用自定义 TCP 协议进行通信。

njRAT 是基于 Microsoft .NET 框架开发的，与许多其他 RAT 一样，可以完全控制受感染的系统并为远程攻击者提供一系列功能。 此外，njRAT 使用各种 .NET 混淆工具，这会使防病毒解决方案难以检测并阻碍安全研究人员的分析过程。

njRAT之所以能够在较短的时间内超越其他RAT并迅速成为最流行的恶意软件家族之一，是因为它使用了插件机制，这意味着它的开发者可以通过使用不同的插件来扩展新的。插件。 木马功能。 下面介绍一个名为“njRAT Lime Edition”的njRAT木马新变种。

新变体结合了多种功能

这个名为“njRAT Lime Edition”的njRAT木马新变种是由美国网络安全公司Zscaler发现的。 该变体包括以下功能：

通过这张配置文件的截图，我们可以发现一些比较重要的信息：

勒索软件模块

该变种的勒索软件功能模块会使用AES-256对称算法对扩展名为.lime的文件进行加密，即加解密密钥相同。

收到命令后，它将尝试加密以下文件夹中的文件：

据Zscaler介绍，njRAT Lime Edition的勒索软件功能模块几乎包含了Lime勒索软件的所有功能。 这是一款于2017年12月6日被安全研究人员检测到的勒索软件，除了能够对文件进行加密外，它还提供了后门功能，可以让攻击者访问受感染的主机。

比特币钱包窃取功能模块

该变种在收到searchwallet（搜索钱包）命令后比特币的功能有哪些，会在受害人买卖比特币、使用比特币进行支付时比特币的功能有哪些，尝试收集被感染主机上正在运行的进程，并跟踪受害者的比特币钱包。

我们知道，诸如此类的数字钱包通常用于存储数字货币，并且可以与银行账户、借记卡或信用卡相关联，以便将数字货币兑换成当地货币。 该变种关注的比特币钱包如下：

主机信息采集功能模块

该变体还利用 Windows WMI 查询服务（例如“SELECT * FROM AntivirusProduct”和“SELECT * FROM Win32_VideoController”）来检查虚拟机（VM，Virtual Machine）或沙盒（Sandboxie）环境。 它能够收集系统信息并将其发送到 C&C，例如：

进程杀手功能模块

该变体还监视受感染主机上的以下进程名称（包括一些防病毒和防火墙进程），并在它们正在运行时尝试将其杀死：

通过 USB 驱动器自我复制模块

该变种还能够通过U盘进行自我复制，一旦检测到外部U盘连接到受感染主机，它就会将自身复制到U盘并创建一个带有文件夹图标的快捷方式。

DDoS攻击功能模块

此 njRAT 变体还能够执行 ARME 和 Slowloris DDoS 攻击。 ARME DDoS 攻击试图耗尽服务器的内存资源。 Slowloris 是一种 DDoS 攻击工具，它允许攻击者使用带宽非常小的单台计算机来关闭目标服务器的 Web 服务器。