Специалисты компании G DATA опубликовали отчет о новой малвари T-RAT, которую распространяют всего за 45 долларов США. Основной особенностью вредоноса является то, что T-RAT позволяет контролировать зараженные системы через Telegram-канал, а не через веб-панель администрирования, как это бывает обычно.

Создатели малвари уверяют, что это обеспечивает более быстрый и легкий доступ к зараженным компьютерам из любого места, и позволяет оперативно похищать данные. Впрочем, также T-RAT можно контролировать более традиционными методами, посредством RDP и VNC.

Telegram-канал T-RAT поддерживает 98 команд, которые позволяют извлекать из браузера пароли и файлы cookie, перемещаться по файловой системе жертвы и искать конфиденциальные данные, развертывать кейлоггер, тайно записывать звук через микрофон устройства, делать скриншоты рабочего стола жертвы, снимки через веб-камеру и перехватывать содержимое буфера обмена.

Кроме того, владельцы T-RAT могут использовать специальный механизм для захвата данных из буфера обмена, который подменяет строки, похожие на адреса криптовалютных и электронных кошельков, на адреса злоумышленников. Это позволяет успешно перехватывать транзакции Qiwi, WMR, WMZ, WME, WMX, Яндекс.Деньги, Payeer, CC, BTC, BTCG, Ripple, Dogecoin и Tron.

Также малварь способна работать с командами терминала (CMD и PowerShell), блокировать жертве доступ к определенным сайтам (например, сайтам антивирусов и технической поддержки), ликвидировать конкретные процессы (отключать защитное и отладочное ПО) и даже деактивировать Панель задач и Диспетчер задач.

Эксперты G DATA пишут, что T-RAT — лишь одно из многих семейств малвари, которые оснащены возможностью управления через Telegram, и это не первый RAT, работающий по такой модели. Так, похожей функциональностью обладают: RATAttack (ориентирован на Windows), HeroRAT  (нацелен на Android), TeleRAT  (используются в основном против пользователей из Ирана, нацелен на Android),  IRRAT (нацелен на Android), RAT-via-Telegram  (доступен на GitHub, ориентирован на пользователей Windows) и Telegram-RAT  (доступен на GitHub, нацелен на пользователей Windows).

«Новые образцы T-RAT регулярно загружают на VirusTotal. Я предполагаю, что он активно распространяется, хотя прямых  доказательств этого у меня нет», — рассказывает эксперт компании Карстен Хан (Karsten Hahn).

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии