Darknet pazarlarında DDoS saldırıları, UAC bypass ve fidye yazılımı dağıtımı için kullanımı kolay özellikler sunan Borat adlı yeni bir uzaktan erişim truva atı (RAT) ortaya çıktı.
Bir RAT olarak Borat, uzak tehdit aktörlerinin kurbanlarının fare ve klavyesinin tam kontrolünü ele geçirmelerine, dosyalara, ağ noktalarına erişmelerine ve varlıklarının herhangi bir işaretini gizlemelerine olanak tanır.
Kötü amaçlı yazılım, operatörlerinin yüksek düzeyde uyarlanmış saldırılar için tam olarak ihtiyaç duyduklarını içeren küçük yükler oluşturmak için derleme seçeneklerini seçmelerine olanak tanır.
Borat, araştırmacılar tarafından analiz edildi. Cybleonu vahşi doğada tespit eden ve işlevselliğini ortaya çıkaran teknik bir çalışma için kötü amaçlı yazılımı örnekleyen
Kapsamlı özellikler
Borat RAT’ın satılıp satılmadığı veya siber suçlular arasında serbestçe paylaşılıp paylaşılmadığı belli değil, ancak Cycle bunun bir oluşturucu, kötü amaçlı yazılım modülleri ve bir sunucu sertifikası içeren bir paket şeklinde geldiğini söylüyor.
Her biri kendi özel modülüne sahip olan truva atının özellikleri arasında şunlar yer alıyor:
- tuş günlüğü – tuş basışlarını izleyin ve günlüğe kaydedin ve bunları bir txt dosyasında saklayın
- Fidye yazılımı – fidye yazılımı yüklerini kurbanın makinesine dağıtın ve Borat aracılığıyla otomatik olarak bir fidye notu oluşturun
- DDoS – güvenliği ihlal edilmiş makinenin kaynaklarını kullanarak çöp trafiğini hedef sunucuya yönlendirin
- Ses kaydı – varsa mikrofon aracılığıyla sesi kaydedin ve bir wav dosyasında saklayın
- Web kamerası kaydı – varsa web kamerasından video kaydedin
- uzak masaüstü – dosya işlemlerini gerçekleştirmek, giriş aygıtlarını kullanmak, kodu yürütmek, uygulamaları başlatmak vb. için gizli bir uzak masaüstü başlatın.
- Ters proxy – uzaktaki operatörün kimliğinin açığa çıkmasını önlemek için bir ters proxy kurun
- Cihaz bilgisi – temel sistem bilgilerini toplamak
- süreç içi boş – algılamadan kaçınmak için kötü amaçlı yazılım kodunu yasal işlemlere enjekte edin
- kimlik hırsızlığı – Chromium tabanlı web tarayıcılarında saklanan hesap kimlik bilgilerini çalma
- discord token hırsızlığı – kurbandan Discord jetonlarını çal
- Diğer fonksiyonlar – ses çalarak, fare düğmelerini değiştirerek, masaüstünü gizleyerek, görev çubuğunu gizleyerek, fareyi tutarak, monitörü kapatarak, boş bir ekran göstererek veya sistemi asarak kurbanı rahatsız edin ve kafasının karışmasına neden olun
Cyble’ın analizinde belirtildiği gibi, yukarıdaki özellikler Borat’ı esasen bir RAT, casus yazılım ve fidye yazılımı yapar, bu nedenle bir cihazda çeşitli kötü niyetli faaliyetler yürütebilecek güçlü bir tehdittir.
Sonuç olarak, RAT’ın geliştiricisi, onu Sacha Baron Cohen tarafından canlandırılan komedi filmi Borat’ın ana karakterinden sonra adlandırmaya karar vermiş olsa da, kötü amaçlı yazılımın şakası yok.
Bleeping Computer, bu kötü amaçlı yazılımın kaynağını bulmaya çalışırken daha derine inerek, yük yürütülebilir dosyasının yakın zamanda AsyncRAT olarak tanımlandıbu yüzden yazarının çalışmasını buna dayandırması muhtemeldir.
Tipik olarak, tehdit aktörleri bu araçları bağcıklı yürütülebilir dosyalar veya oyunlar ve uygulamalar için crack gibi görünen dosyalar aracılığıyla dağıtır, bu nedenle torrentler veya gölgeli siteler gibi güvenilmez kaynaklardan herhangi bir şey indirmemeye dikkat edin.