Uusi Borat RAT -haittaohjelmatyökalupaketti ei ole vitsi, vaarallisempi kuin alun perin luultiin

Sacha Baron Cohenin omituinen viiksinen Borat-hahmo voi olla huumaava. Hahmon mukaan nimetty monikäyttöinen haittaohjelmien työkalupakki ei kuitenkaan ole varmasti mitään vitsailua.

Tietoturvatutkijat ovat paljastaneet uuden haittaohjelmatyypin, jota kutsutaan nimellä Borat RAT . RAT tarkoittaa "etäkäyttötroijalaista", mutta troijalaisen ominaisuudet ovat vain pieni osa työkalupakin ominaisuuksista.

Monipuolinen ja vaarallinen

Borat RAT on haittaohjelmatyökalu, jota myydään pimeässä verkossa maanalaisilla hakkerointikeskusteluilla ja foorumeilla julkaistujen viestien kautta. Haittaohjelma on myös uusi tulokas näyttämölle, ja tutkijat uskovat, että sitä kehitetään ja laajennetaan edelleen, mikä on vaarallisempaa kuin alun perin uskottiin.

Tämä ei tarkoita sitä, etteikö Borat RATissa olisi pelottavia ominaisuuksia jo sisäänrakennettuna. Vakoilun ja troijalaisen kaltaisten ominaisuuksien lisäksi haittaohjelmassa on ransomware-moduuli, joka voi salata ja purkaa tiedostoja ja tarjoaa jopa mahdollisuuden räätälöidä lunnaita kullekin ostajalle.

Haitallinen työkalu voi myös vakoilla uhreja useilla eri tavoilla. Borat RAT:lla on vaikuttava ominaisuusvalikoima mikrofonin äänen tallentamisesta kuvakaappausten tai kuvien ottamiseen laitteesta löytyvän verkkokameran avulla. Haittaohjelma voi myös kirjata näppäinpainalluksia ja sisältää hajautetun palvelunestomoduulin (DDoS).

Näppäinpainallusten kaappaamisen lisäksi haittaohjelmat voivat myös kerätä ja suodattaa selaintietoja, jotka vaihtelevat evästeistä ja historiasta kirjautumistietoihin.

Yllättäviä vitsin ominaisuuksia

Näyttää siltä, että Borat RAT:n kirjoittajat yrittivät myydä tuotteensa jokaiselle aloittelevalle hakkereille, aina niistä, jotka tietävät mitä tekevät, ja niille, jotka tekevät sitä enemmän pahasta kuin vakavasta voitosta. Haittaohjelmapakkaus sisältää todella outoja ja leikkisä ominaisuuksia, kuten mahdollisuuden sammuttaa uhrin tietokoneen näyttö, vaihtaa hiiren vasemman ja oikean painikkeen toimintoa tai toistaa ääntä tavalla, joka näyttää uhrin pilaamiselta.

Borat RAT:n hyötykuormaa analysoinut Cyble Research Labsin tiimi totesi, että haittaohjelma käyttää prosessin tyhjennystekniikkaa estääkseen virustorjuntaohjelmiston havaitsemisen. Prosessin tyhjennys on uhkatoimijoiden käyttämä lähestymistapa, joka vaarantaa isäntäjärjestelmässä käynnissä olevan säännöllisen ja laillisen prosessin ja antaa sitten hakkereille mahdollisuuden suorittaa haitallista koodia kaapatun prosessin käyttämän muistijärjestelmän sisällä.

Koska haittaohjelmia ei vieläkään ole laajalti otettu käyttöön tai käytetty aktiivisissa kampanjoissa, on hieman vaikea ennustaa, kuinka suuri uhka siitä tulee, mutta tutkijat varoittavat, että Borat RATia ei pidä ottaa kevyesti. Kehitys on edelleen aktiivisessa vaiheessa ja haittaohjelmia levitetään nyt aktiivisesti, joten Borat RAT on varovainen.