Ny Borat RAT Malware Toolkit er ingen spøg, mere farlig end oprindeligt antaget

Sacha Baron Cohens finurlige Borat-karakter med overskæg kan være et tuderi. Det multifunktionelle malware-værktøjssæt, der er opkaldt efter karakteren, er dog bestemt ikke noget at spøge med.

Sikkerhedsforskere har afsløret en ny stamme af malware, der kaldes Borat RAT. RAT står for 'remote access trojan', men trojanske kapaciteter er kun en lille del af værktøjskassens funktioner.

Alsidig og farlig

Borat RAT er et malware-værktøj, der sælges på det mørke web, gennem indlæg på underjordiske hacking-opslagstavler og fora. Malwaren er også en ny ankomst på scenen, og forskere mener, at den stadig er ved at blive udviklet og udvidet og dermed mere farlig end oprindeligt antaget.

Det er ikke til at sige, at Borat RAT ikke har en skræmmende række funktioner, der allerede er indbygget. Ud over spionage og trojanske egenskaber har malwaren et ransomware-modul, der kan kryptere og dekryptere filer og endda giver mulighed for at tilpasse løsesumsedler for hver køber.

Det ondsindede værktøj kan også spionere på ofre ved hjælp af en række forskellige metoder. Fra at optage mikrofonlyd til at tage skærmbilleder eller tage billeder ved hjælp af et webcam fundet på enheden, Borat RAT har et imponerende sæt funktioner. Malwaren kan også logge tastetryk og inkluderer et distribueret denial of service-modul (DDoS).

Ud over at fange tastetryk, kan malwaren også indsamle og eksfiltrere browserdata, lige fra cookies og historik til logindetaljer.

Overraskende vittighedstræk

Det ser ud til, at forfatterne af Borat RAT forsøgte at sælge deres produkt til alle spirende hackere derude, fra dem, der ved, hvad de laver, til dem, der er i det for at være mere end seriøs profit. Malware-sættet indeholder nogle virkelig mærkelige og legende funktioner, såsom muligheden for at slukke offerets computers skærm, skifte funktionen af venstre og højre knap på en tilsluttet mus eller afspille lyd i, hvad der ligner et forsøg på at pranke offeret.

Holdet ved Cyble Research Labs, der analyserede nyttelasten af Borat RAT, bemærkede, at malwaren bruger teknikken til procesudhulning for at undgå opdagelse af antivirussoftware. Process hollowing er en tilgang, der bruges af trusselsaktører, der kompromitterer en regulær og legitim proces, der kører på værtssystemet, og derefter tillader hackerne at udføre ondsindet kode inde i hukommelsesarrayet, der bruges af den kaprede proces.

Da malwaren stadig ikke er udbredt eller brugt i aktive kampagner, er det lidt svært at forudsige, hvor stor en trussel det vil blive, men forskere advarer om, at Borat RAT ikke skal tages let på. Med udviklingen stadig i sin aktive fase og med malwaren nu aktivt distribueret, er Borat RAT en man skal holde øje med.