I ricercatori di Cyble Research Labs hanno scoperto un nuovo remote access Trojan (RAT) denominato Borat che, a differenza di altri RAT, fornisce ransomware, servizi DDOS, ecc., agli attori delle minacce insieme alle consuete funzionalità RAT, espandendo ulteriormente le capacità del malware.
Borat RAT viene fornito come un pacchetto che include builder binary, moduli di supporto, certificato del server e altro ancora, ha una struttura modulare e ogni modulo implementa una funzionalità specifica.
Il modulo “keylogger.exe” è responsabile del monitoraggio e della memorizzazione delle sequenze di tasti sulla macchina della vittima che vengono, una volta catturate, salvate in un file chiamato “Sa8XOfH1BudXLog.txt” per l’esfiltrazione.
Il RAT ha un’opzione per fornire un payload di ransomware alla macchina della vittima per crittografare i file degli utenti e richiedere un riscatto. Può anche interrompere il normale traffico di un server eseguendo un attacco DDoS.
Borat RAT può registrare l’audio di un computer (se riesce a trovare un microfono collegato sulla macchina della vittima registra tutto l’audio e lo salva in un file chiamato micaudio.wav) e può anche acquisire video attraverso qualsiasi webcam presente nella macchina della vittima (identifica se una webcam è presente nel computer della vittima, quindi avvia la registrazione del video).
Questo RAT prende il controllo da remoto del desktop della macchina infetta, quindi, concede agli attori malevoli i diritti necessari per eseguire attività come il controllo della macchina, del mouse, della tastiera della vittima e l’acquisizione dello schermo. Il controllo della macchina della vittima permette diverse attività come l’esecuzione di ransomware nella macchina compromessa, l’eliminazione di file critici, ecc.
Borat RAT può anche rubare cookie, cronologia, segnalibri, credenziali di accesso salvate da browser basati su chromium come Google Chrome, Edge, i token Discord ecc.
“Il Borat RAT è una potente e unica combinazione di Trojan di accesso remoto, spyware e ransomware, che lo rende una tripla minaccia per qualsiasi macchina da esso compromessa. Con la capacità di registrare l’audio e controllare la webcam e condurre il tradizionale comportamento di furto di informazioni, Borat è chiaramente una minaccia da tenere d’occhio. La funzionalità aggiuntiva per eseguire attacchi DDOS rende questa una minaccia ancora più pericolosa a cui le organizzazioni e gli individui devono prestare attenzione. Il Cyble Research Team sta monitorando da vicino le azioni del RAT e continuerà a informare i nostri clienti e le persone in tutto il mondo”.
https://blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/
