В даркнете появился новый троян удаленного доступа (RAT) Borat, который может использоваться для DDoS-атак, обхода UAC и развертывания шифровальщиков.

Анализ нового вредоноса провели специалисты Cyble Research Labs, которые рассказывают, что пока неясно, продается ли Borat RAT или свободно распространяется среди хакеров. Как бы то ни было, вредонос поставляется в виде пакета, который включает в себя билдер, модули малвари и сертификат сервера.

Borat позволяет злоумышленникам получить полный контроль над мышью и клавиатурой жертвы, получить доступ к файлам, сетевым точкам и скрыть любые признаки своего присутствия. Малварь позволяет операторам выбирать параметры для компиляции и создания небольших полезных нагрузок, которые содержат именно то, что требуется для конкретных узкоспециализированных атак.

Исследователи отмечают, что троян обладает широкими возможностями, для каждой из которых есть собственный выделенный модуль:

  • Кейлоггинг— отслеживание и запись нажатий клавиш с последующим сохранением в текстовом файле.
  • Шифровальщик — развертывание вымогательского пейлоада компьютере жертвы и автоматическое создание записки с требованием выкупа.
  • DDoS— направление мусорного трафика на целевой сервер с использованием ресурсов скомпрометированной машины.
  • Аудиозапись— запись звук через микрофон, если он доступен, и сохранение в wav-файле.
  • Запись с веб- камеры— запись видео с веб-камеры, если она доступна.
  • Удаленный рабочий стол— запуск скрытого удаленного рабочего стола для выполнения операций с файлами, использования устройств ввода, выполнения кода, запуска приложений и так далее.
  • Обратный прокси — настройка обратного прокси-сервер, чтобы защитить личность удаленного оператора от раскрытия личности.
  • Информация об устройстве— сбор базовой информации о системе.
  • Hollowing процессов— внедрение вредоносного кода в легитимные процессы, чтобы избежать обнаружения.
  • Кража учетных данных— кража учетных данных, хранящихся в браузерах на основе Chromium.
  • Кража токенов Discord— у жертвы похищают токены Discord.
  • Другие функции— малварь может сбивать жертву с толку, проигрывая звук, переключая кнопки мыши, скрывая рабочий стол, скрывая панель задач, удерживая мышь на одном месте, выключая монитор, показывая пустой экран или «вешая» систему.

Cyble отмечает, что вышеупомянутые функции делают Borat мощной угрозой, которая, по сути, объединяет в себе RAT, шпионское ПО и вымогателя, то есть способна выполнять самые разные  вредоносные действия на устройстве.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии