È stato ribattezzato Borat il nuovo trojan di accesso remoto (RAT) dotato di numerose funzionalità malevoli che consentono ai cyber criminali di ottenere facilmente un accesso non autorizzato ai sistemi target bypassando i controlli UAC (User Account Control) di Windows.
Tra le altre cose, il malware già molto diffuso sugli shop online di materiale illecito della Darknet, consente anche di condurre attacchi DDoS e distribuire ransomware.
Indice degli argomenti
Borat il RAT con funzionalità semplicemente avanzate
Secondo lo studio dei ricercatori di Cyble, Borat è effettivamente un RAT, uno spyware e un ransomware, quindi è una formidabile minaccia in grado di eseguire una serie di attività distruttive su un sistema. Dunque, anche se l’attore della minaccia ha scelto il nome e l’immagine di Borat, il personaggio principale dell’omonima commedia della filmografia comica interpretato da Sacha Baron Cohen, il malware non fa per niente ridere. La sua semplicità di utilizzo ne aggrava ancora di più il potenziale di attacco.
Borat, in quanto RAT, consente ai cyber criminali di assumere il controllo totale da remoto del mouse e della tastiera delle loro vittime, manipolare i punti di rete, accedere ai file e mascherare la loro presenza. Inoltre, non è chiaro se Borat RAT sia commercializzato o distribuito liberamente tra gli hacker, ma Cyble afferma che venga fornito in bundle con un builder, un certificato server e moduli malware.
Il malware dal punto di vista tecnico
Il malware Boratconsente ai suoi operatori di personalizzare le proprie scelte di compilazione per creare payload compatti con solo le funzionalità che desiderano per attacchi altamente mirati.
Il trojan ha le seguenti funzionalità, ognuna delle quali ha il proprio modulo (DLL) specifico:
- Keylogging: tiene traccia delle sequenze di tasti e le salva in un file di testo;
- DDoS: invia traffico spazzatura (eccessivo) a un server mirato utilizzando le risorse del sistema infetto;
- ransomware: invia i payload del ransomware alla workstation della vittima e genera automaticamente una nota di riscatto;
- registrazione con webcam: se una webcam è accessibile, registra video da essa (funzionalità di spionaggio altamente invasiva);
- registrazione audio: se è disponibile un microfono, registra l’audio e salva come file WAV;
- info dispositivo: raccoglie informazioni di base sul sistema;
- desktop remoto: avvia un desktop remoto segreto per eseguire operazioni sui file, eseguire codice, accedere a dispositivi di input, avviare applicazioni, ecc.;
- proxy inverso: imposta un proxy inverso per nascondere l’identità dell’operatore remoto dalla rivelazione;
- credenziali: ruba i dettagli dell’account salvati nei browser Web basati sul sistema operativo Chromium;
- Process Hollowing: inietta codice dannoso nei processi legittimi per evitare il rilevamento;
- altre funzionalità – Disturba e confonde la vittima riproducendo audio, spostando i pulsanti del mouse, nascondendo la barra delle applicazioni, facendo lampeggiare uno schermo vuoto, tenendo premuto il mouse, nascondendo il desktop, spegnendo il monitor o sospendendo il sistema.
Un arsenale completo a disposizione di utenti non autorizzati che, praticamente, renderebbero l’accesso a un sistema del tutto indisturbato e senza limiti: si potrà fare di tutto da remoto, così come esser di fronte al monitor del computer infetto, senza averne autorizzazione alcuna. La funzionalità in grado di predisporre attacchi DDoS lo rende particolarmente grave e impattante rispetto ai suoi predecessori concorrenziali. Infatti, con un certo numero di infezioni, i cyber criminali potrebbero facilmente realizzare una botnet difficile da individuare, mirata contro un obiettivo univoco.
Analizzando il modulo ransomware incluso in una DLL del pacchetto Borat, notiamo che include già il testo per compilare la richiesta di riscatto, come mostrato nella figura sottostante (fonte: Cyble).
Inoltre, nel codice del malware è presente anche il decryptor, funzionalità che permette di decrittografare tutti i file tenuti in ostaggio, una volta pagato il riscatto. La funzionalità è presente, ricordiamo però che il pagamento non garantisce comunque lo sblocco dei file in quanto si tratta sempre di un processo manuale, da attivare con l’intervento umano dell’operatore criminale.
Origine e distribuzione di Borat
Nell’ambito dell’indagine sulle origini del malware Borat, è stato scoperto che l’eseguibile del payload è stato recentemente riconosciuto come AsyncRAT, il che implica che il suo programmatore ha basato il suo lavoro su di esso. Lo possiamo dunque tranquillamente considerare come una variante di AsyncRAT.
Il file BoratRat.exe su VirusTotal
Il file principale del RAT appena scoperto è stato inserito su VirusTotal il 15 marzo e allo stato attuale solo 28 dei 68 vendors di sicurezza informatica ne riconoscono gli indicatori di compromissione.
Gli indicatori di compromissione, relativi al file principale del pacchetto binario sono:
ddab2fe165c9c02281780f38f04a614e | MD5 | BoratRAT.exe |
2a5ad37e94037a4fc39ce7ba2d66ed8a424383e4 | SHA1 | |
b47c77d237243747a51dd02d836444ba067cf6cc4b8b3344e5cf791f5f41d20e | SHA256 |
Come proteggersi dal malware Borat
Gli attori delle minacce in genere diffondono questi strumenti attraverso eseguibili intrecciati o file mascherati da crack per giochi e programmi, quindi il consiglio iniziale per proteggersi dal malware Borat è sicuramente quello di evita di scaricare qualsiasi cosa da fonti non affidabili come torrent o siti Web di dubbia provenienza.
Inoltre, è importante mantenere un elevato grado di allerta in merito a questa minaccia, almeno finché i suoi indicatori di compromissione non saranno diffusi su tutti i database antivirus in circolazione.