Il nuovo toolkit Malware Borat RAT non è uno scherzo, più pericoloso di quanto si pensasse in origine
L'eccentrico personaggio di Borat baffuto di Sacha Baron Cohen può essere uno spasso. Il toolkit malware multiuso che prende il nome dal personaggio, tuttavia, non è certamente nulla su cui scherzare.
I ricercatori di sicurezza hanno scoperto un nuovo ceppo di malware chiamato Borat RAT. RAT sta per "trojan di accesso remoto", ma le funzionalità del trojan sono solo una piccola parte delle funzionalità del toolkit.
Versatile e pericoloso
Borat RAT è uno strumento malware venduto sul dark web, attraverso post su forum e forum di hacking sotterranei. Il malware è anche un nuovo arrivo sulla scena e i ricercatori ritengono che sia ancora in fase di sviluppo e di espansione, quindi più pericoloso di quanto si pensasse inizialmente.
Questo non vuol dire che Borat RAT non abbia una serie spaventosa di funzionalità già integrate. Oltre alle capacità di spionaggio e simili a trojan, il malware dispone di un modulo ransomware in grado di crittografare e decrittografare i file e offre persino la possibilità di personalizzare le note di riscatto per ciascun acquirente.
Lo strumento dannoso può anche spiare le vittime utilizzando una varietà di metodi. Dalla registrazione dell'audio del microfono all'acquisizione di schermate o allo scatto di immagini utilizzando una webcam trovata sul dispositivo, Borat RAT ha un set di funzionalità impressionante. Il malware può anche registrare le sequenze di tasti e include un modulo DDoS (Distributed Denial of Service).
Oltre a catturare le sequenze di tasti, il malware può anche raccogliere ed esfiltrare i dati del browser, che vanno dai cookie e dalla cronologia ai dettagli di accesso.
Caratteristiche scherzose sorprendenti
Sembra che gli autori di Borat RAT stessero cercando di vendere il loro prodotto a tutti gli hacker in erba là fuori, da quelli che sanno cosa stanno facendo a quelli che sono coinvolti per danno più che per profitto serio. Il kit malware include alcune caratteristiche davvero strane e giocose, come la possibilità di spegnere il monitor del computer della vittima, scambiare la funzione dei pulsanti sinistro e destro di un mouse collegato o riprodurre l'audio in quello che sembra uno sforzo per prendere in giro la vittima.
Il team dei Cyble Research Labs che ha analizzato il carico utile di Borat RAT ha notato che il malware utilizza la tecnica del process hollowing per evitare il rilevamento da parte del software antivirus. Il process hollowing è un approccio utilizzato dagli attori delle minacce che compromette un processo regolare e legittimo in esecuzione sul sistema host, quindi consente agli hacker di eseguire codice dannoso all'interno dell'array di memoria utilizzato dal processo dirottato.
Con il malware ancora non ampiamente adottato o utilizzato nelle campagne attive, è un po' difficile prevedere quanta minaccia diventerà, ma i ricercatori avvertono che il Borat RAT non dovrebbe essere preso alla leggera. Con lo sviluppo ancora nella sua fase attiva e con il malware ora distribuito attivamente, Borat RAT è uno da tenere d'occhio.