BBSRAT

A ameaça BBSRAT é um Trojan de acesso remoto, que possui diversos recursos úteis. Essa ameaça permite que os seus operadores obtenham acesso remoto ao sistema infiltrado e fornece a capacidade de plantar cargas úteis adicionais no host. Os operadores do BBSRAT são capazes de executar comandos remotos, bem como códigos no computador violado. O BBSRAT também coleta dados sobre o software, hardware e configuração do host infectado. O malware BBSRAT pode ser usado para varios propósitos nefastos, incluindo destruição de dados, reconhecimento e outros.

Parece que os desenvolvedores da ameaça BBSRAT se chamam 'Roaming Tiger', mas não está claro de onde eles se originam ou qual é o motivo de suas operações maliciosas. O grupo de hackers Roaming Tiger provavelmente surgiu pela primeira vez em 2015-2016, quando especialistas em malware interceptaram emails de phishing escritos inteiramente em russo. Além disso, a maioria das vítimas do grupo Roaming Tiger parece estar localizada em estados de língua russa.

Para realizar seus ataques, o grupo Roaming Tiger parece contar com certas vulnerabilidades conhecidas, que podem ser encontradas em versões desatualizadas de aplicativos do Office, tais como o CVE-2012-0158. O grupo de hackers normalmente usaria um arquivo de documento, o que geraria um prompt, que instaria o usuário a clicar em 'Ativar o Conteúdo'. Se o usuário seguir as instruções, ele verá um arquivo de documento de chamariz, o qual manterá sua atenção, enquanto o script corrompido da ameaça seria executado em segundo plano por meio da vulnerabilidade CVE-2012-0158.

Para obter persistência no host violado, o BBSRAT viola o serviço de registro do Windows. Quando o BBSRAT obtiver persistência com êxito, ele poderá executar uma lista de comandos fornecidos pelo servidor de C&C (Comando & Controle) dos atacantes. Os comandos incluem:

• Fazer upload de arquivos adicionais do servidor C&C.
• Buscar estrutura de diretórios.
• Receber uma lista de arquivos.
• Listar processos ativos.
• Encerrar certos processos ativos.
• Fornecer ao C&C o feedback dos comandos executados.
• Executar, editar e excluir arquivos.
• Desinstalr a ameaça e limpar os traços da sua atividade.

Os pesquisadores de malware acreditam que o grupo Roaming Tiger pode ter introduzido atualizações à ameaça BBSRAT, pois os recursos mencionados acima foram empregados em operações durante o período 2015-2016. Verifique se o seu sistema e a sua rede estão protegidos contra o BBSRAT usando um software anti-vírus respeitável e atualizado.