Pesquisadores de segurança relataram uma nova variedade de malware, capaz de distribuir ransomware e realizar ataques DDoS. Chamado Borat após o infame filme mockumentary, o malware é um RAT, ou um Trojan de acesso remoto, e fornece as duas atividades juntamente com os recursos típicos do RAT.
O malware Borat RAT também fornece um painel para os agentes de ameaças realizarem atividades RAT e também tem a opção de compilar o binário do malware para realizar ataques DDoS e ransomware na máquina da vítima, disseram pesquisadores da Cyble.
Borat RAT: Capacidades e Módulos
keylogging
O Borat RAT oferece recursos de registro de chaves em seu módulo keylogger.exe:
O módulo “keylogger.exe” é responsável por monitorar e armazenar as teclas digitadas na máquina da vítima. A imagem abaixo mostra as APIs relacionadas ao teclado usadas pelo RAT para fins de registro de teclas. As teclas capturadas são salvas em um arquivo chamado “Sa8XOfH1BudXLog.txt” para exfiltração.
Entrega de ransomware
O malware tem a capacidade de fornecer um ransomware carga útil para a máquina comprometida que irá criptografar os arquivos e exigir um resgate. O malware também tem a capacidade de criar uma nota de resgate.
Atividade DDoS
O RAT também possui um módulo projetado para interromper o tráfego normal de um servidor alvo realizando um DDoS (Negação de serviço distribuída) ataque.
Gravação de áudio e webcam
O trojan também fornece spyware funcionalidade, pois é capaz de gravar atividades de áudio e webcam. Em termos de captura de áudio, ele verifica se um microfone está presente, e caso localize um microfone conectado, Borat RAT grava todo o áudio e salva em um arquivo chamado micaudio.wav.
O malware pode gravar vídeo por meio de qualquer webcam descoberta em um sistema comprometido. Se detectar uma webcam, ele começa a gravar o vídeo.
Recursos de área de trabalho remota
A opção Remote Desktop permite que os cibercriminosos “realizem atividades como controlar a máquina da vítima, rato, teclado, e capturando a tela. Controlar a máquina da vítima pode permitir que os TAs realizem várias atividades, como excluir arquivos críticos, executando ransomware na máquina comprometida, etc," o relatório disse.
Outros recursos que o Borat RAT possui incluem a capacidade de reverter o proxy, coletar informações do dispositivo, realizar o esvaziamento do processo, roubar credenciais do navegador e credenciais do Discord.
Em conclusão…
Essa nova variedade de malware é uma “combinação potente e única” e é uma ameaça tripla para vítimas em todo o mundo (ransomware, spyware, e RATO). A funcionalidade DDoS adicionada torna ainda mais perigoso, e um interesse para um número maior de cibercriminosos.
Para evitar ser vítima deste (ou outro) malwares, siga as dicas gerais de “higiene do PC”, incluindo atualizações regulares, backup de arquivos importantes (para evitar danos de ransomware), e senhas fortes.