Um novo trojan de acesso remoto (RAT) chamado Borat apareceu nos mercados da darknet, oferecendo recursos fáceis de usar para realizar ataques DDoS, bypass UAC e implantação de ransomware.
Como um RAT, Borat permite que atores de ameaças remotas assumam o controle completo do mouse e teclado da vítima, acessem arquivos, pontos de rede e escondam qualquer sinal de sua presença.
O malware permite que seus operadores escolham suas opções de compilação para criar pequenas cargas que apresentam precisamente o que precisam para ataques altamente personalizados.
Borat foi analisado por pesquisadores da Cyble, que o viram na natureza e provaram o malware para um estudo técnico que revelou sua funcionalidade.
Novos Recursos
Não está claro se o Borat RAT é vendido ou compartilhado livremente entre cibercriminosos, mas o Cycle diz que ele vem na forma de um pacote que inclui um construtor, os módulos do malware e um certificado de servidor.
As características do trojan, cada um com seu próprio módulo dedicado, incluem o seguinte:
- Keylogging – monitore e registre prensas de teclas e armazene-as em um arquivo txt
- Ransomware – implantar cargas de ransomware na máquina da vítima e gerar automaticamente uma nota de resgate através do Borat
- DDoS – direcionar o tráfego de lixo para um servidor alvo usando os recursos da máquina comprometida
- Gravação de áudio – gravar áudio através do microfone, se disponível, e armazená-lo em um arquivo wav
- Gravação da webcam – gravar vídeo da webcam, se disponível
- Desktop remoto – inicie uma área de trabalho remota escondida para executar operações de arquivos, use dispositivos de entrada, execute código, inicie aplicativos, etc.
- Proxy reverso – configure um proxy reverso para proteger o operador remoto de ter sua identidade exposta
- Informações do dispositivo – coletar informações básicas do sistema
- Esvaziamento de processos – injete código de malware em processos legítimos para evitar a detecção
- Roubo de credenciais – roubar credenciais de conta armazenadas em navegadores da Web baseados em Chromium
- Roubo de token discord – roubar tokens Discord da vítima
- Outras funções – interromper e confundir a vítima reproduzindo áudio, trocando os botões do mouse, escondendo a área de trabalho, escondendo a barra de tarefas, segurando o mouse, desligando o monitor, mostrando uma tela em branco ou pendurando o sistema
Como observado na análise de Cyble, os recursos acima fazem de Borat essencialmente um RAT, spyware e ransomware, por isso é uma ameaça potente que poderia realizar uma variedade de atividades maliciosas em um dispositivo.
Ao cavar mais fundo tentando encontrar a origem deste malware, o Bleeping Computer descobriu que a carga executável foi recentemente identificada como AsyncRAT, então é provável que seu autor tenha baseado seu trabalho nele.
Distribuição
Normalmente, os atores de ameaças distribuem essas ferramentas através de executáveis ou arquivos que se disfarçam de rachaduras para jogos e aplicativos, por isso tenha cuidado para não baixar nada de fontes não confiáveis, como torrents ou sites obscuros.
Fonte: cyble.com