Phishing-Kampagne verbreitet die funktionsreiche Babylon-RAT

Das Babylon Remote Administration Tool (RAT) ist zurück mit einer neuen Phishing-Kampagne, die die Malware verbreitet, wie die Analysten von Cofense festgestellt haben . Babylon RAT ist eine funktionsreiche Open-Source-Bedrohung, die jedes Netzwerk stören kann, in das es eindringt. Die enorme Vielseitigkeit von Babylon RAT ermöglicht es, die RAT an die spezifischen Ziele der Angreifer anzupassen.

Babylon RAT hat viele Werkzeuge

Nach der Ausführung von Babylon RAT wird eine Verbindung zu einem Command & Control-Server (C & C) hergestellt, der fest in die Binärdatei der Malware codiert ist. Höchstwahrscheinlich werden dynamische Domänen verwendet, damit IP-Adressen geändert werden können, ohne dass die Kommunikation mit dem Server unterbrochen wird. Die Verbindung ist verschlüsselt und überträgt private Daten über den infizierten Host wie Benutzername, PC-Name, IP-Adresse, Land, Betriebssystem und sogar das derzeit aktive Programmfenster. Diese Informationen werden alle 5 Sekunden aktualisiert und können im Administrationsbereich von Babylon RAT eingesehen werden.

Um die Wahrscheinlichkeit einer Erkennung zu verringern, kann jedes mit Babylon RAT infizierte System in einen SOCKS-Proxy umgewandelt werden. Dies bedeutet, dass nach der seitlichen Weitergabe über das Netzwerk alle gefährdeten Computer den erstellten SOCKS-Proxy als Gateway für den ausgehenden Datenverkehr zum C & C-Server verwenden können. Darüber hinaus kann durch diese Methode die E-Mail- und URL-Filterung umgangen werden.

Eine weitere in Babylon RAT integrierte Funktionalität ist die Passwortwiederherstellung. Bei der Initiierung durchläuft die Malware die installierten Anwendungen, einschließlich der Webbrowser, und durchsucht sie nach Anmeldeinformationen. Obwohl das Modul für die Kennwortwiederherstellung die Anmeldeinformationen des Betriebssystems nicht stiehlt, geht Cofense davon aus, dass der Zugriff auf den Benutzernamen zusammen mit nur ein paar geernteten Kennwörtern es den Angreifern leicht ermöglichen könnte, die Anmeldeinformationen des Betriebssystems zu gefährden, was eine Vielzahl neuer Sicherheitsrisiken mit sich bringt für die angegriffene Organisation.

Babylon RAT kann DoS-Angriffe starten

Ein separates Modul ist für das Auslösen von DoS-Angriffen (Denial of Service) verantwortlich. Der DoS kann auf einen bestimmten Hostnamen oder IP-Bereich ausgerichtet werden, während Parameter wie Threads und Sockets für ein oder mehrere Protokolle angepasst werden können. Ein DoS-Befehl, der an eines der Computersysteme gesendet wird, kann an den Rest der infizierten Hosts übertragen werden, was zu einem größeren DDoS-Angriff (Distributed Denial of Service) führt.

Mit seiner Vielzahl von Funktionen kann Babylon RAT verheerende Auswirkungen auf jede Organisation haben, die infiziert werden kann. Der Einsatz geeigneter Anti-Phishing-Techniken und Maßnahmen zur präventiven Erkennung und Abwehr von Bedrohungen wird als bevorzugte Vorgehensweise angesehen, verglichen mit der Alternative, mit Malware umzugehen, die bereits tief in der Netzwerkinfrastruktur des Unternehmens verankert ist.