njRAT远程访问特洛伊木马（RAT）的运营商正在利用Pastebin C2隧道来避免网络安全研究人员的审查。

周三，帕洛阿尔托网络公司第42单元网络安全团队表示，njRAT（也称为Bladabindi）正被用于从Pastebin下载和执行二级有效载荷，从而取消了这一需求建立一个传统的指挥控制（C2）服务器。

另请参见：您的电子邮件线程至少从10月份开始就被QBot特洛伊木马程序劫持了

，运营商已经使用Pastebin，一个文本存储和发布平台，作为承载不同形式和形状的有效载荷的主机。在某些情况下，转储是base64编码的，在其他情况下，十六进制和JSON数据掩盖了转储的真实性质，有些是压缩的blob，而其他只是包含嵌入恶意url的明文指令。

研究小组称，njRAT变种会调用链接到Pastebin的缩短url，试图“逃避安全产品的检测，增加不被察觉的操作可能性”。

njRAT是一种广泛使用的特洛伊木马，能够远程劫持受损机器的功能，包括截屏、过滤数据、键盘记录和杀毒程序等过程。此外，RAT能够执行二次恶意有效负载，并将受感染的PC连接到僵尸网络。

研究人员描述的现在使用的“Pastebin C2隧道”在njRAT感染和新的有效负载之间建立了一条通道。当特洛伊木马充当下载程序时，它将抓取转储到Pastebin上的编码数据，解码并部署。

CNET:黑客访问与经授权的COVID-19疫苗相关的文档

在团队查看的样本中，一个有效载荷被解码为.NET可执行文件，滥用Windows API函数进行密钥记录和数据窃取。其他样本，功能相似，需要多层解码才能显示最终有效载荷。

JSON格式的数据伪装在Pastebin上，被认为可能充当恶意软件的配置文件。Pastebin转储还用于指向软件下载，包括指向ProxyScraper的链接https://www.techrepublic.com/article/phishing-emails-more-than-25-of-american-workers-fall-for-them/？ftag=CMG-01-10aaa1b“target=”nu blank“rel=”noopener noreferrer“data component=”externalLink“>网络钓鱼电子邮件：超过25%的美国工人爱上了他们

帕洛阿尔托说，基于Pastebin的指挥架构仍然活跃，并被RAT用来传递二次有效载荷。

“根据我们的研究，“恶意软件作者对在Pastebin中托管他们的第二阶段有效负载感兴趣，并加密或混淆这些数据，以此来规避安全解决方案，”该团队说恶意软件作者有可能长期使用Pastebin等服务。“

以前和相关的报道

• 这个新的，不寻常的特洛伊木马承诺受害者COVID-19税收减免
  
• Jupyter特洛伊木马：新发现的恶意软件会悄悄窃取用户名和密码
  
• 新的Python脚本特洛伊木马恶意软件针对金融科技公司
  

有什么建议吗？通过WhatsApp | Signal（电话+447713 025 499）或通过Keybase:charlie0进行安全联系。

Facebook在圣诞节前及时为WhatsApp带来应用内购物车，“pageType”：“article”}>Adobe security update清除Lightroom中的关键漏洞，Prelude

通过注册，您同意
2023-03-22 10:04:24