O malware combina acesso remoto, spyware e ransomware em um pacote inspirado no clássico personagem “Borat”
Um novo Trojan de Acesso Remoto (RAT) pode até ter um nome divertido para alguns, mas sua combinação única de ameaças mostra que o malware não tem nada de engraçado.
Apelidado de Borat RAT, o Cyble Research Labs divulgou, em uma análise recente do malware, que a nova ameaça não se restringe aos recursos padrão de acesso remoto; em vez disso, o Borat RAT também inclui funções de spyware e ransomware – evoluções de malware que tornam a ameaça especialmente nociva.
De acordo com os pesquisadores de segurança cibernética, o Trojan, que leva o nome do personagem adotado pelo comediante Sacha Baron Cohen e protagonista da série de clássicos da comédia norte-americana, “Borat!”, cujo primeiro filme “O Segundo Melhor Repórter do Glorioso País Cazaquistão Viaja à América” foi sucesso mundial de bilheteria, é colocado à venda para cibercriminosos em fóruns clandestinos.
A ameaça possui um painel de controle centralizado e sua estrutura conta com módulos de construção de código e de recursos e um certificado de servidor.
Por dentro do malware Borat RAT
Os recursos do malware são vastos e incluem um keylogger, um componente de criptografia e descriptografia de ransomware – bem como a opção para os usuários gerarem suas próprias notas de resgate – e um recurso opcional de negação de serviço distribuído (DDoS) para “interromper o tráfego habitual de um servidor de destino”, de acordo com o relatório da Cyble.
O uso de “RAT” no nome – além de inspirar o trocadilho com “Borat” – também dá um indicativo dos recursos remotos e de vigilância desse malware altamente elaborado.
O Borat RAT pode gravar remotamente o áudio de uma máquina, comprometendo seu microfone, capturar imagens da webcam e também disponibiliza uma série de alternativas de controle remoto: sequestro de mouse ou teclado, captura de tela, adulteração de configurações do sistema e roubo e exclusão de arquivos.
O Borat RAT também utiliza o esvaziamento de processos para comprometer processos legítimos no dispositivo da vítima e também pode permitir que proxies reversos permaneçam sob o radar enquanto são realizadas atividades maliciosas.
Como o malware funciona
Se o ataque for bem-sucedido, o malware coletará dados, incluindo informações do sistema operacional, antes de enviá-los para um servidor de comando e controle (C2) controlado pelo invasor.
Além disso, o Borat RAT extrairá informações do navegador, como cookies, históricos de navegação, marcadores e favoritos e credenciais dos usuários. Tokens do Discord também podem ser roubados. A ameaça afeta navegadores como o Chrome e o Microsoft Edge baseado em Chromium.
O relatório que detalha a ameaça informa que o malware também pode executar outras funções com o objetivo de “perturbar” suas vítimas, incluindo reproduzir áudios, trocar as funções dos botões do mouse, mostrar ou ocultar uma área de trabalho e barra de tarefas, congelar o mouse, adulterar as luzes da webcam, desligar um monitor e muito mais. Essas perturbações muito provavelmente também foram inspiradas no personagem que lhe empresta o nome.
Trata-se de uma das ameaças mais complexas e disruptivas já vista nos últimos tempos, destacam os pesquisadores. Embora ainda se tenha poucos detalhes de ataques que exploram o malware, é certo que eles ocorrerão em breve.
Mantenha sua empresa e seus dispositivos seguros. Consulte as soluções da Compugraf e saiba como podemos te ajudar!
