Borat, un nuovo trojan di accesso remoto (RAT) con funzionalità facili da usare è emerso sui mercati darknet. Il malware si concentra su attacchi informatici DDoS (Distributed-Denial-of-Service) , distribuzione di ransomware e bypass dell'UAC.
Come funziona Borat?
Borat è un RAT che consente agli hacker remoti di avere il pieno controllo del mouse e della tastiera dei loro obiettivi e di accedere a file e punti di rete nascondendo la loro presenza.
Gli attori delle minacce che lo sfruttano possono personalizzare le loro opzioni di compilazione per scopi di creazione di payload compatti. Questi payload soddisfano i requisiti necessari per condurre attacchi informatici altamente personalizzati.
A scoprire Borat sono stati gli esperti di Cyble, che sono riusciti a campionare il malware per un'indagine tecnica che ne ha dimostrato il funzionamento e ha pubblicato un rapporto sull'argomento.
Un Trojan di accesso remoto o RAT è uno strumento utilizzato dai Threat Actors (TA) per ottenere l'accesso completo e il controllo remoto sul sistema di un utente, inclusi il controllo del mouse e della tastiera, l'accesso ai file e l'accesso alle risorse di rete. Durante la nostra normale ricerca OSINT, Cyble Research Labs si è imbattuto in un nuovo Trojan di accesso remoto (RAT) chiamato Borat . A differenza di altri RAT, Borat fornisce ransomware, servizi DDOS, ecc., A Threat Actors insieme alle consuete funzionalità RAT, espandendo ulteriormente le capacità del malware. Lo sviluppatore ha chiamato questo RAT "Borat" dopo un film mockumentary di una commedia nera e la foto utilizzata nel RAT è dell'attore Sacha Baron Cohen, che ha interpretato il ruolo principale nel film Borat.
Quali caratteristiche ha Borat?
Al momento non è chiaro se il RAT in discussione sia distribuito gratuitamente tra gli attori delle minacce o se sia messo in vendita. I ricercatori di Cycle hanno sottolineato alcune caratteristiche di Borat che hanno identificato:
Registrazione chiavi
Questa funzione ha il ruolo di tenere traccia delle pressioni dei tasti. Questi verranno memorizzati in un file di testo.
Distribuzione di ransomware
Borat può essere utilizzato per inviare payload di ransomware al computer della vittima e creare automaticamente una richiesta di riscatto.
Servire per scopi di attacchi informatici DDoS
Il RAT reindirizza il traffico spazzatura a un server di destinazione utilizzando le risorse del sistema compromesso.
Ha funzionalità di registrazione del suono e della fotocamera
Se è disponibile un microfono, Borat registra l'audio attraverso di esso e lo salva come file wav. Se una webcam è accessibile, le riprese verranno registrate.
Funzionalità desktop remoto
Questa funzione indica che il RAT può avviare un desktop remoto segreto per operazioni sui file, accedere a dispositivi di input, eseguire codice, aprire programmi e altro.
Funzionalità proxy inverso
Questa funzione attiva il proxy inverso per proteggere l'identità dell'operatore remoto dalla rivelazione.
Può raccogliere informazioni sul dispositivo
Può ottenere informazioni di base sul sistema raccogliendo informazioni sul dispositivo.
Capacità di svuotamento del processo
Il process hollowing si verifica quando il malware viene iniettato in processi legittimi a scopo di evasione del rilevamento.
Può rubare le credenziali
Borat può eseguire il furto di credenziali da browser Web basati su Chromium e anche rubare token discord dagli utenti presi di mira.
Oltre a queste caratteristiche principali sopra descritte, altre funzioni includono la riproduzione dell'audio, lo scambio di pulsanti del mouse, l'occultamento del desktop, l'occultamento della barra delle applicazioni, la presa in mano del mouse, lo spegnimento del monitor, la visualizzazione di uno schermo vuoto o l'attaccatura del sistema per confondere e disturbare la vittima.
Ciò che indicano le caratteristiche elencate è il fatto che Borat è effettivamente un RAT, uno spyware e un ransomware, come sottolineano gli esperti di Cyble, quindi è una formidabile minaccia in grado di eseguire una serie di attività distruttive su un sistema.
Borat presenta l'immagine
Secondo BleepingComputer , gli attori delle minacce in genere diffondono questi strumenti attraverso eseguibili intrecciati o file mascherati da crack per giochi e programmi, quindi evita di scaricare qualsiasi cosa da fonti non affidabili come torrent o siti Web inaffidabili.
Informazioni sui Trojan di accesso remoto
Il trojan di accesso remoto rappresentano una forma di malware che consente a un utente malintenzionato di assumere il controllo completo del tuo computer da remoto. Per mezzo di un trojan di accesso remoto, gli attori delle minacce possono accedere facilmente ai tuoi file locali, proteggere l'autorizzazione all'accesso e altre informazioni sensibili, nonché la possibilità di sfruttare tale connessione per scaricare infezioni che potresti involontariamente diffondere ad altri.
