Borat - новое вредоносное ПО удаленного доступа. И это не смешно

Злоумышленники выкатили в продажу новое многофункциональное ПО

На рынках даркнета появился новый троянец удаленного доступа (RAT) под названием Borat, предлагающий простые в использовании функции для проведения DDoS-атак, обхода UAC и развертывания программ-вымогателей.

Как RAT, Borat позволяет злоумышленникам удаленно полностью контролировать мышь и клавиатуру своей жертвы, получать доступ к файлам, сетевым точкам и скрывать любые признаки своего присутствия.

Вредоносное ПО позволяет своим операторам выбирать варианты компиляции для создания различных высокоспециализированных атак.

Борат был проанализирован исследователями из Cyble, которые его обнаружили и взяли образец вредоносного ПО для технического исследования, с последующим определением его функциональности.

Некоторые особенности Бората (Источник: Cyble)

Широкие возможности

Неясно, продается ли Borat RAT или свободно распространяется среди киберпреступников, но Cyble говорит, что он поставляется в виде пакета, который включает в себя конструктор, содержащий различные модули вредоносного ПО и сертификат сервера.

Файлы в архиве Borat RAT (Источник: Cyble)

Особенности троянца, каждый из которых имеет свой собственный выделенный модуль, включают в себя следующее:

• Кейлоггинг – мониторинг и регистрация нажатий клавиш и сохранение их в txt-файле
• Ransomware — развертывание программ-вымогателей на машине жертвы и автоматическое создание записки о выкупе через Borat
• DDoS – направление мусорного трафика на целевой сервер с помощью ресурсов скомпрометированной машины
• Аудиозапись – запись звука через микрофон, если таковой имеется, и сохранение его в WAV-файле
• Запись веб-камеры – запись видео с веб-камеры, если таковая имеется
• Удаленный рабочий стол — запуск скрытого удаленного рабочего стола для выполнения файловых операций, использования устройств ввода, выполнения кода, запуска приложений и т. Д.
• Обратный прокси-сервер — настройка обратного прокси-сервера для защиты удаленного оператора от раскрытия его личности
• Информация об устройстве – сбор основной системной информации
• Опустошение процесса — внедрение вредоносного кода в легальные процессы, чтобы избежать обнаружения
• Кража учетных данных — кража данных учетной записи, хранящихся в веб-браузерах на основе Chromium
• Кража токенов Discord – кража токенов Discord у жертвы
• Другие функции — нарушить и запутать жертву, воспроизводя аудио, меняя местами кнопки мыши, скрывая рабочий стол, скрывая панель задач, удерживая мышь, выключая монитор, показывая пустой экран или "вешая" систему

Больше разрекламированных характеристик Бората (Источник: Cyble)

Как отмечалось в анализе Cyble, вышеуказанные функции делают Borat шпионским ПО и программой-вымогателем "в одном флаконе". И поэтому считают этот RAT мощной угрозой, которая может проводить различные вредоносные действия на устройстве.

В общем, несмотря на то, что разработчик RAT решил назвать его в честь главного героя комедийного фильма «Борат», воплощенного Сашей Бароном Коэном, вредоносное ПО вовсе не шутка.

Копая глубже, пытаясь найти происхождение этого вредоносного ПО, Bleeping Computer обнаружил, что исполняемый файл полезной нагрузки был недавно идентифицирован как AsyncRAT, поэтому вполне вероятно, что его автор основывал свою работу на нем.

Как правило, злоумышленники распространяют эти инструменты через архивированные исполняемые файлы или файлы, замаскированные под "кряки" и кейгены для игр и приложений. Будьте осторожны, когда загружаете программы или игры из ненадежных источников, таких как торренты или сайты-файлопомойки.