Njw0rm: Código Fonte Usado para Criação de Novos RATs

Desenvolvedores de malware têm utilizado o código fonte da ferramenta de acesso remoto (RAT), Njw0rm, com a intenção de criar dois novos RATs, de acordo com uma constatação feita por pesquisadores da Trend Micro. Njw0rm é uma variante do njRAT, uma ferramenta que, ao que tudo indica, tenha sido desenvolvida por um indivíduo estabelecido no Kuwait. Em junho de 2014, a Microsoft anunciou os resultados de uma operação de segmentação njRAT (Bladabindi) e Njw0rm (Jenxcus). Na época, a empresa percebeu que os cybercriminosos podiam criar suas próprias versões do malware, porque a informação e os pacotes necessários para tal feito, estavam disponíveis a partir de fóruns públicos. Nesse contexto, a Trend Micro se pronunciou, dizendo que o código-fonte do Njw0rm foi publicado em fóruns de crackers em maio de 2013, depois que os criminosos começaram a criar novas amostras de malware com base na ameaça em questão.



Um dos novos RATs criados é Kjw0rm. A versão 2.0 do malware foi detectada pela primeira vez pela empresa de segurança, em janeiro de 2014. Kjw0rm 0.5x e um novo worm apelidado de "Sir Do0om", surgiram em dezembro de 2014. As novas amostras de malware vem com um painel de controle reforçado, e que inclui vários novos recursos não encontrados no Njw0rm. Além de informações sobre o endereço IP da vítima, localização, sistema operacional e dispositivos USB, o painel de controle do Kjw0rm inclui dados sobre os antivírus instalados (v2.0) e a presença do framework .NET (v0.5x). Já o Sir Do0om, também fornece a botmaster com informações sobre RAM, firewalls, antivírus, CPU/GPU e detalhes do produto (name, ID, key).


Saiba Mais:

[1] Security Week http://www.securityweek.com/njw0rm-s...reate-new-rats