Das neue Borat RAT Malware Toolkit ist kein Scherz, sondern gefährlicher als ursprünglich angenommen
Sacha Baron Cohens skurriler Borat-Charakter mit Schnurrbart kann ein Schrei sein. Das nach dem Charakter benannte Mehrzweck-Malware-Toolkit ist jedoch sicherlich nicht zu scherzen.
Sicherheitsforscher haben einen neuen Malware-Stamm namens Borat RAT entdeckt. RAT steht für „Remote Access Trojan“, aber Trojaner-Fähigkeiten sind nur ein kleiner Teil der Funktionen des Toolkits.
Vielseitig und gefährlich
Borat RAT ist ein Malware-Tool, das im Darknet über Posts in Untergrund-Hacking-Messageboards und -Foren verkauft wird. Die Malware ist auch neu auf der Bildfläche und Forscher glauben, dass sie immer noch entwickelt und erweitert wird und daher gefährlicher ist als ursprünglich angenommen.
Das soll nicht heißen, dass Borat RAT nicht bereits über eine beängstigende Reihe von Funktionen verfügt. Zusätzlich zu Spionage- und Trojaner-ähnlichen Fähigkeiten verfügt die Malware über ein Ransomware-Modul, das Dateien verschlüsseln und entschlüsseln kann und sogar die Möglichkeit bietet, Lösegeldforderungen für jeden Käufer anzupassen.
Das bösartige Tool kann Opfer auch mit einer Vielzahl von Methoden ausspionieren. Von der Aufnahme von Mikrofon-Audio bis hin zum Aufnehmen von Screenshots oder Aufnehmen von Bildern mit einer auf dem Gerät befindlichen Webcam hat Borat RAT einen beeindruckenden Funktionsumfang. Die Malware kann auch Tastenanschläge protokollieren und enthält ein DDoS-Modul (Distributed Denial of Service).
Neben der Erfassung von Tastenanschlägen kann die Malware auch Browserdaten sammeln und exfiltrieren, die von Cookies und Verlauf bis hin zu Anmeldedaten reichen.
Überraschende Witzfunktionen
Es scheint, dass die Autoren von Borat RAT versucht haben, ihr Produkt an jeden angehenden Hacker da draußen zu verkaufen, von denen, die wissen, was sie tun, bis zu denen, die mehr aus Unheil als aus ernsthaftem Profit dabei sind. Das Malware-Kit enthält einige wirklich seltsame und spielerische Funktionen, wie die Fähigkeit, den Monitor des Opfercomputers auszuschalten, die Funktion der linken und rechten Taste einer angeschlossenen Maus zu tauschen oder Audio abzuspielen, was wie ein Versuch aussieht, dem Opfer einen Streich zu spielen.
Das Team von Cyble Research Labs, das die Nutzlast von Borat RAT analysierte, stellte fest, dass die Malware die Technik der Prozessaushöhlung verwendet, um die Erkennung durch Antivirensoftware zu vermeiden. Process Hollowing ist ein von Bedrohungsakteuren verwendeter Ansatz, der einen regulären und legitimen Prozess, der auf dem Hostsystem ausgeführt wird, kompromittiert und es den Hackern dann ermöglicht, bösartigen Code innerhalb des Speicherarrays auszuführen, das von dem gekaperten Prozess verwendet wird.
Da die Malware immer noch nicht weit verbreitet ist oder in aktiven Kampagnen verwendet wird, ist es etwas schwierig vorherzusagen, wie stark sie zu einer Bedrohung werden wird, aber Forscher warnen davor, die Borat RAT nicht auf die leichte Schulter zu nehmen. Da sich die Entwicklung noch in der aktiven Phase befindet und die Malware jetzt aktiv verbreitet wird, ist Borat RAT einer, auf den man achten sollte.