比特币 qt 钱包 njRAT 木马的新变种增加了勒索软件和比特币钱包窃取功能

njRAT，也称为 Bladabindi，是一种远程访问木马 (RAT)，于 2013 年首次出现，并迅速成为最流行的恶意软件家族之一。 它为命令和控制 (C&C) 服务器使用动态 DNS，并使用自定义 TCP 协议通过可配置端口进行通信。

njRAT 是基于 Microsoft .NET 框架开发的，与许多其他 RAT 一样，它提供对受感染系统的完全控制比特币钱包解密工具，并为远程攻击者提供一系列功能。 此外，njRAT 使用多种 .NET 混淆工具，这会使防病毒解决方案难以检测并阻碍安全研究人员的分析过程。

njRAT能够在较短的时间内超越其他RAT比特币qt钱包，并因其插件机制而迅速成为最受欢迎的恶意软件家族之一，这意味着它的开发者可以使用不同的插件来扩展新的木马功能。 接下来，我们将在下面介绍一个名为“njRAT Lime Edition”的njRAT木马新变种。

新变体具有多种功能

美国网络安全公司Zscaler发现了名为“njRAT Lime Edition”的njRAT木马新变种。 此变体包括以下功能：

下面是njRAT Lime版本的配置文件截图：

通过这个配置文件的截图，我们可以发现一些重要的信息：

勒索软件模块

该变种勒索软件功能模块采用AES-256对称算法对扩展名为.lime的文件进行加密，即加解密密钥相同。

收到命令后，将尝试加密以下文件夹中的文件：

据 Zscaler Features 介绍，njRAT Lime Edition 的勒索软件功能模块包含了几乎所有的 Lime 勒索软件。 该勒索软件于 2017 年 12 月 6 日被安全研究人员检测到，除了能够加密文件外比特币钱包解密工具，还提供后门功能，允许攻击者访问受感染的主机。

比特币钱包窃取模块

在收到 searchwallet 命令后，该变体会尝试收集受感染主机上运行的进程并购买受害者。 或者在出售比特币和用比特币支付时跟踪受害者的比特币钱包。

众所周知，此类数字钱包通常用于存储数字货币，可以连接到银行账户、借记卡或信用卡，以便将数字货币兑换成当地货币。 该变种涉及的比特币钱包如下：

主机信息采集功能模块

该变种还会使用“SELECT * FROM AntivirusProduct”和“SELECT * FROM Win32_VideoController”等Windows WMI查询服务来检查虚拟机（VM，Virtual Machine）或沙盒（Sandboxie）环境。 它能够收集系统信息并将其发送给 C&C，例如：

进程杀手功能模块

此变体还监视受感染主机进程上的以下进程（包括一些防病毒和防火墙）名称，并在其运行时尝试将其杀死：

U盘自复制模块

该变种还可以通过U盘进行自我复制，一旦它检测到外部U盘连接到受感染的主机比特币qt钱包，它就会将自身复制到U盘并创建一个带有文件夹图标的快捷方式。

DDoS攻击功能模块

此 njRAT 变体还能够执行 ARME 和 Slowloris DDoS 攻击。 ARME DDoS 攻击试图耗尽服务器的内存资源。 另一方面，Slowloris 是一种 DDoS 攻击工具，它允许攻击者从一台计算机上以非常少的带宽关闭目标服务器的 Web 服务器。

本文由黑客视觉综合网编译，图片来源于网络； 转载请注明“转载自Hacker Vision”并附上链接。

币圈新闻，版权所有丨如未注明，均为原创丨本站受BY-NC-SA协议授权

转载请注明原文链接：比特币qt钱包njRAT木马新变种新增勒索病毒和比特币钱包窃取功能