Beendoor RAT
O Beendoor RAT é uma ferramenta de acesso remoto ameaçadora que foi observada pela primeira vez em fevereiro de 2016. RATs como o Beendoor RAT são usados por criminosos para controlar os dispositivos das vítimas de um local não relacionado, permitindo que eles realizem virtualmente qualquer operação no dispositivo de destino. Os criminosos que usam o Beendoor RAT para atacar um dispositivo podem assumir o controle de um computador e controlá-lo como se estivessem sentados exatamente no terminal, coletando informações, instalando outros malwares, usando os periféricos do dispositivo e realizando uma ampla variedade de tarefas usando o dispositivo comprometido.
Índice
Quem são os Criminoso Responsáveis pelos Ataques do Beendoor RAT
Pesquisadores de malware suspeitam que o Beendoor RAT foi desenvolvido por um grupo APT (Ameaça Persistente Avançada) localizado no Paquistão, com base nas motivações por trás dos ataques conhecidos do Beendoor RAT. O grupo APT que realizou os ataques do Beendoor RAT estava ativo em 2016 e, em seguida, parece ter saído da atividade pública. O RAT Beendoor é apenas uma das muitas ferramentas envolvidas em ataques a políticos e oficiais do governo na Índia e foi usada contra diplomatas e instalações militares. Os ataques do Beendoor RAT e as atividades deste APT parecem estar intimamente ligados ao conflito sociopolítico entre a Índia e o Paquistão, um conflito que envolveu o uso de ataques cibernéticos e uma variedade de armas digitais, como o Beendoor RAT.
Como são Realizados os Ataques do Beendoor RAT
Os ataques do Beendoor RAT foram realizados usando mensagens de email de phishing. Esses e-mails geralmente usam táticas de engenharia social, contendo links para artigos e vídeos relacionados a questões militares, políticas e financeiras que seriam de interesse das autoridades da Índia. Essas mensagens foram retransmitidas para figuras em posições de autoridade na Índia, geralmente incluindo links corrompidos que levam a documentos do Microsoft Office que são usados para entregar malware ao dispositivo da vítima. O APT usará uma vulnerabilidade conhecida rotulada como vulnerabilidade CVE-2012-0158, a chamada vulnerabilidade MSCOMCTL.OCX RCE, que afeta o Microsoft Office 2003-2007-2010, SQL Server 2000-2005-2008, BizTalk Server 2002, Commerce Server 2002-2007-2009 e Visual Basic 6.0. Essa exploração permite que os criminosos executem código corrompido no dispositivo da vítima, que instala o Beendoor RAT no computador da vítima.
Como o Beendoor RAT é Usado para Atacar as Suas Vítimas
O ataque do Beendoor RAT possui todos os recursos que você esperaria ver em um RAT desse tipo. Os criminosos podem baixar arquivos do dispositivo infectado, fazer capturas de tela do computador infectado e espionar a vítima usando a câmera do dispositivo e outros periféricos. O Beendoor RAT é compactado como uma biblioteca XMPP no dispositivo infectado e carregado quando o Windows é iniciado automaticamente. O RAT do Beendoor geralmente aparece no Gerenciador de tarefas do Windows com um nome inócuo, tal como 'wmplayer.exe' ', wmplayer.exe,' 'svchost.exe,' 'word.exe' 'ou' winupdate.exe 'para evitar despertar suspeitas. O Beendoor RAT é bem pequeno, com apenas 40 KB, e foi projetado para ser executado em segundo plano sem alertar a vítima sobre sua presença. A seguir, estão alguns dos rótulos que o Beendoor RAT pode ser atribuído quando detectado por um programa de segurança:
MSIL/Spy.Agent.AKD
Malicious.9cad5f
Spyware ( 004e1d811 )
TROJ_APHOST.A
Trojan-Spy.MSIL.Agent.kft
Trojan.Agent.Win32.680265
Trojan.Win32.Agent.eadsex
Trojan/Win32.Agent.C1355393
W32/Trojan.GADJ-6420
Protegendo os Seus Dispositivos contra o Beendoor RAT
A melhor proteção contra ameaças como o Beendoor RAT é educar os usuários finais. Se o usuário médio do computador souber dessas ameaças, esses usuários com acesso a informações seguras, principalmente, terão mais chances de executar os protocolos de segurança necessários para impedir os ataques do Beendoor RAT. As precauções necessárias contra essas ameaças incluem evitar mensagens de email de phishing, instalar um programa de segurança e usar senhas fortes e procedimentos de autenticação fortes para proteger dispositivos e redes.
