Los investigadores están investigando una campaña generalizada en la que los atacantes troyanizan múltiples herramientas de piratería con njRAT. El objetivo final de la campaña es obtener acceso a las máquinas de las víctimas que pueden usarse más tarde para cualquier cosa, desde realizar ataques DDoS hasta robar datos confidenciales. El origen de esta campaña aún no se conoce, sin embargo, según se informa, la campaña se ha estado llevando a cabo durante varios años apuntando a hackers con herramientas infectadas.

Hasta la fecha, los investigadores de seguridad de Cybereason Nocturnus han rastreado más de 1000 muestras de njRAT que datan de años. Los investigadores afirman que las nuevas iteraciones del malware se publican casi a diario.

Las herramientas de piratería troyanizadas incluyen los raspadores de sitios, escáneres de exploits, generadores de dork de Google, herramientas para realizar inyecciones automáticas de SQL, herramientas para lanzar ataques de fuerza bruta y herramientas para verificar la validez de las credenciales filtradas.

La campaña probablemente la lleve a cabo un grupo de hackers que residen en Vietnam. Durante el análisis, el equipo de Cybereason descubrió que muchas de las aplicaciones troyanizadas estaban asociadas con el blog [.] Capturk [.] Com – registrado por un individuo vietnamita.

“Hasta junio de 2018, parece que capeturk.com era un sitio web de juegos turco dedicado al conocido juego Minecraft. El 25 de noviembre de 2018, el dominio capeturk.com expiró y fue registrado por un individuo vietnamita. El dominio comenzó a asociarse con malware en el momento de la reinscripción, sin embargo, no está claro si este individuo vietnamita tiene algún vínculo con la campaña de malware ”, dijeron los investigadores en una publicación de blog .

Para alojar njRAT malicioso, los actores de amenazas hacen uso de instalaciones vulnerables de WordPress. Modifican maliciosamente archivos en varios foros y sitios web para atraer a otros hackers.

Está claro que los actores de amenazas detrás de la campaña están usando múltiples servidores, algunos de los cuales parecen ser blogs pirateados de WordPress. Por el momento, no está claro si la campaña también se está utilizando para apuntar a los usuarios.