Un nouveau cheval de Troie d’accès à distance (RAT) nommé Borat est apparu sur les marchés du darknet, offrant des fonctionnalités faciles à utiliser pour mener des attaques DDoS, contourner l’UAC et déployer des rançongiciels.
En tant que RAT, Borat permet aux pirates distants de prendre le contrôle total de la souris et du clavier de leur victime, d’accéder aux fichiers, aux points réseau et de masquer tout signe de leur présence.
Le logiciel malveillant laisse ses opérateurs choisir leurs options de compilation pour créer de petites charges utiles contenant précisément ce dont ils ont besoin pour des attaques hautement personnalisées.
Borat a été analysé par des chercheurs de Cyble, qui l’ont repéré dans la nature et ont échantillonné le malware pour une étude technique qui a révélé sa fonctionnalité.
Fonctionnalités étendues
On ne sait pas si le Borat RAT est vendu ou librement partagé entre les cybercriminels, mais Cycle dit qu’il se présente sous la forme d’un package qui comprend un constructeur, les modules du malware et un certificat de serveur.
Les fonctionnalités du cheval de Troie, chacune ayant son propre module dédié, incluent les suivantes :
Keylogging – surveillez et enregistrez les pressions sur les touches et stockez-les dans un fichier txt
Ransomware – déployez des charges utiles de ransomware sur la machine de la victime et générez automatiquement une note de rançon via Borat
DDoS – dirige le trafic indésirable vers un serveur cible en utilisant les ressources de la machine compromise
Enregistrement audio – enregistrez l’audio via le microphone, si disponible, et stockez-le dans un fichier wav
Enregistrement par webcam – enregistrez la vidéo à partir de la webcam, si disponible
Bureau à distance – démarrez un bureau à distance caché pour effectuer des opérations sur les fichiers, utiliser des périphériques d’entrée, exécuter du code, lancer des applications, etc.
Proxy inverse – configurez un proxy inverse pour empêcher l’opérateur distant de voir son identité exposée
Informations sur l’appareil – recueillir des informations de base sur le système
Effacement de processus – injectez du code malveillant dans des processus légitimes pour échapper à la détection
Vol d’informations d’identification – voler les informations d’identification de compte stockées dans les navigateurs Web basés sur Chromium
Vol de jetons Discord – voler des jetons Discord à la victime
Autres fonctions – perturber et confondre la victime en jouant de l’audio, en échangeant les boutons de la souris, en masquant le bureau, en masquant la barre des tâches, en tenant la souris, en éteignant le moniteur, en affichant un écran vide ou en suspendant le système
Comme indiqué dans l’analyse de Cyble, les fonctionnalités ci-dessus font de Borat essentiellement un RAT, un logiciel espion et un logiciel de rançon, c’est donc une menace puissante qui pourrait mener une variété d’activités malveillantes sur un appareil.
Dans l’ensemble, même si le développeur du RAT a décidé de lui donner le nom du personnage principal de la comédie Borat, incarné par Sacha Baron Cohen, le malware n’est pas du tout une blague.
En creusant plus profondément pour essayer de trouver l’origine de ce malware, Bleeping Computer a découvert que l’exécutable de la charge utile a été récemment identifié comme AsyncRAT, il est donc probable que son auteur ait basé son travail dessus.
En règle générale, les pirates distribuent ces outils via des exécutables ou des fichiers qui se font passer pour des cracks pour les jeux et les applications. Veillez donc à ne rien télécharger à partir de sources non fiables telles que des torrents ou des sites louches.