Nieuwe Borat RAT Malware Toolkit is geen grap, gevaarlijker dan oorspronkelijk gedacht
Het eigenzinnige Borat-personage met snor van Sacha Baron Cohen kan een giller zijn. De multifunctionele malware-toolkit die naar het personage is vernoemd, is echter zeker niets om grappen over te maken.
Beveiligingsonderzoekers hebben een nieuwe vorm van malware ontdekt die de Borat RAT wordt genoemd. RAT staat voor 'remote access trojan', maar de mogelijkheden van de trojan vormen slechts een klein deel van de functies van de toolkit.
Veelzijdig en gevaarlijk
Borat RAT is een malware-tool die wordt verkocht op het dark web, via berichten op ondergrondse prikborden en forums voor hacking. De malware is ook nieuw op het toneel en onderzoekers denken dat het nog steeds wordt ontwikkeld en uitgebreid, dus gevaarlijker dan oorspronkelijk werd gedacht.
Dat wil niet zeggen dat Borat RAT geen angstaanjagende reeks functies heeft die er al in zijn ingebouwd. Naast spionage en trojan-achtige mogelijkheden, beschikt de malware over een ransomware-module die bestanden kan versleutelen en ontsleutelen en biedt zelfs de mogelijkheid om losgeldnota's voor elke koper aan te passen.
De kwaadaardige tool kan slachtoffers ook bespioneren met behulp van verschillende methoden. Van het opnemen van microfoonaudio tot het maken van schermafbeeldingen of het maken van afbeeldingen met behulp van een webcam op het apparaat, Borat RAT heeft een indrukwekkende reeks functies. De malware kan ook toetsaanslagen registreren en bevat een gedistribueerde denial of service (DDoS)-module.
Naast het vastleggen van toetsaanslagen, kan de malware ook browsergegevens verzamelen en exfiltreren, variërend van cookies en geschiedenis tot inloggegevens.
Verrassende grapfuncties
Het lijkt erop dat de auteurs van Borat RAT hun product probeerden te verkopen aan elke beginnende hacker die er is, van degenen die weten wat ze doen tot degenen die het meer met kattenkwaad dan met serieuze winst doen. De malwarekit bevat enkele echt vreemde en speelse functies, zoals de mogelijkheid om de monitor van de slachtoffercomputer uit te schakelen, de functie van de linker- en rechterknop van een aangesloten muis om te wisselen of audio af te spelen in wat lijkt op een poging om het slachtoffer in de maling te nemen.
Het team van Cyble Research Labs dat de lading van Borat RAT analyseerde, merkte op dat de malware de techniek van procesuitholling gebruikt om detectie door antivirussoftware te voorkomen. Procesuitholling is een benadering die wordt gebruikt door bedreigingsactoren die een regulier en legitiem proces op het hostsysteem in gevaar brengen, en vervolgens de hackers in staat stellen kwaadaardige code uit te voeren in de geheugenarray die door het gekaapte proces wordt gebruikt.
Omdat de malware nog steeds niet op grote schaal wordt toegepast of wordt gebruikt in actieve campagnes, is het een beetje moeilijk om te voorspellen hoeveel een bedreiging het zal worden, maar onderzoekers waarschuwen dat de Borat RAT niet lichtvaardig moet worden opgevat. Met de ontwikkeling nog in de actieve fase en met de malware die nu actief wordt verspreid, is Borat RAT er een om naar uit te kijken.