Un nuovo trojan di accesso remoto (RAT) chiamato Borat è apparso sui mercati della darknet, offrendo caratteristiche facili da usare per condurre attacchi DDoS, bypassare UAC e distribuire ransomware.
Come RAT, Borat permette agli attori delle minacce remote di prendere il controllo completo del mouse e della tastiera della loro vittima, accedere ai file, ai punti di rete e nascondere qualsiasi segno della loro presenza.
Il malware permette ai suoi operatori di scegliere le loro opzioni di compilazione per creare piccoli payloads che presentano esattamente ciò di cui hanno bisogno per attacchi altamente personalizzati.
Borat è stato analizzato dai ricercatori di Cyble, che lo hanno individuato in natura e hanno campionato il malware per uno studio tecnico che ha rivelato la sua funzionalità.
Non è chiaro se il Borat RAT venga venduto o condiviso liberamente tra i criminali informatici, ma Cycle dice che viene fornito sotto forma di un pacchetto che include un costruttore, i moduli del malware e un certificato del server.
Le caratteristiche del trojan, ognuna con il proprio modulo dedicato, includono quanto segue:
- Keylogging – monitorare e registrare la pressione dei tasti e memorizzarli in un file txt
- Ransomware – distribuisce payload ransomware sulla macchina della vittima e genera automaticamente una nota di riscatto attraverso Borat
- DDoS – dirigere il traffico di spazzatura verso un server di destinazione utilizzando le risorse della macchina compromessa
- Registrazione audio – registrare l’audio tramite il microfono, se disponibile, e memorizzarlo in un file wav
- Registrazione webcam – registra il video dalla webcam, se disponibile
- Desktop remoto – avvia un desktop remoto nascosto per eseguire operazioni sui file, utilizzare dispositivi di input, eseguire codice, lanciare applicazioni, ecc.
- Reverse proxy – imposta un reverse proxy per proteggere l’operatore remoto dall’esposizione della propria identità
- Informazioni sul dispositivo – raccogliete informazioni di base sul sistema
- Process hollowing – iniettare codice malware in processi legittimi per eludere il rilevamento
- Furto di credenziali: rubare le credenziali dell’account memorizzate nei browser web basati su Chromium
- Furto di token Discord – ruba i token Discord dalla vittima
- Altre funzioni – disturbano e confondono la vittima riproducendo l’audio, scambiando i pulsanti del mouse, nascondendo il desktop, nascondendo la barra delle applicazioni, tenendo il mouse, spegnendo il monitor, mostrando uno schermo vuoto o sospendendo il sistema
- Altre caratteristiche di Borat
Come notato nell’analisi di Cyble, le caratteristiche di cui sopra rendono Borat essenzialmente un RAT, spyware e ransomware, quindi è una potente minaccia che potrebbe condurre una varietà di attività dannose su un dispositivo.
Tutto sommato, anche se lo sviluppatore del RAT ha deciso di chiamarlo come il personaggio principale del film comico Borat, incarnato da Sacha Baron Cohen, il malware non è affatto uno scherzo.
In genere, gli attori delle minacce distribuiscono questi strumenti tramite eseguibili lacciati o file che si mascherano da crack per giochi e applicazioni, quindi fate attenzione a non scaricare nulla da fonti non affidabili come torrent o siti loschi.
