Вредоносная программа njRAT уже давно известна среди экспертов своим оригинальным методом распространения. В середине октября этого года специалисты Symantec сообщали об использовании VoIP-сервиса Discord спамерами, распространяющими посредством чатов несколько RAT-программ: NanoCore, njRAT и SpyRat.
Теперь необычная схема доставки троянской программы зафиксирована экспертами из Malwarebytes. Отправной точкой в цепочке распространения вредоносной программы является файл VMWare.exe, маскирующийся под пиратскую версию инструмента для виртуализации VMWare. Но в ходе инсталляции программа выходит на связь с PasteBin, откуда в виде текста загружает скрипт на Visual Basic и осуществляет его запуск на компьютере. Скрипт подключается к серверу злоумышленников и принимает присланный оттуда файл Tempwinlogon.exe. В ходе анализа выяснилось, что этот файл осуществляет установку в систему жертвы троянской программы Bladabindi, которая также известна как Derusbi и njRAT.
Как утверждают эксперты, когда компьютер через диспетчер задач пытается завершить подозрительный процесс, созданный троянской программой, устройство прекращает работу. Создатели njRAT, вероятнее всего, взяли эту технику из JavaScript-программы, обнаруженной специалистами Kahu Security несколько недель назад. Последняя вовсе выключает компьютер, если ее работе хотят помешать, а после перезагрузки устройства начинает функционировать в штатном режиме.
Эксперты Malwarebytes просят всех жертв njRAT не только очистить систему, но и поменять все пароли, поскольку вредоносная программа похищает учетную информацию.