Borat RAT: Neue Malware kombiniert Remote Access, Spyware und Ransomware
Hacker bieten Borat RAT in Untergrundforen zum Verkauf an. Die Malware erlaubt die nahezu vollständige Kontrolle eines Systems. Der Funktionsumfang reicht vom Keylogger bis hin zu DDoS-Angriffen.
Forscher von Cyble Research Labs haben eine neue Schadsoftware namens Borat entdeckt. Dabei handelt es sich um einen Remote Access Trojan (RAT), der Angreifern die Kontrolle eines Systems aus der Ferne erlauben soll. Angereichert wurde Borat jedoch zusätzlich mit Funktionen einer Spyware und einer Ransomware.
Der Analyse der Forscher zufolge wird die nach einer Figur des Komikers Sacha Baron Cohen benannte Malware derzeit in Untergrundforen zum Kauf angeboten. Die Bedienung erfolgt demnach über eine zentrales Dashboard. Zum Lieferumgang gehören neben einem Builder die einzelnen Funktionsmodule und ein Server-Zertifikat.
Zum Funktionsumfang der Schadsoftware gehören ein Keylogger, Komponenten zur Verschlüsselung und Entschlüsselung von Dateien und eine Option zur Generierung individueller Lösegeldforderungen. Darüber hinaus lässt sich eine Funktion für Distributed-Denial-of-Service-Angriffe nachrüsten, um den normalen Datenverkehr zu einem ins Visier genommenen Server zu stören.
Die Forscher entdeckten allerdings auch diverse “Spaßfunktionen”, die dem Trojaner letztlich zu seinem Namen verhalfen. So sind die Hintermänner in der Lage, aus der Ferne einen Monitor eines kompromittierten Systems ein- und auszuschalten, die Lade eines optischen Laufwerks zu öffnen und zu schließen oder den Mauszeiger zu verbergen.
Weniger “lustig” sind Funktionen, die es den Hintermännern erlauben, ein System aus der Ferne zu überwachen. Unter anderem können Sie Audio aufzeichnen und, falls vorhanden, eine Webcam kontrollieren, Tastatureingaben abfangen, Screenshots anfertigen und Systemeinstellungen manipulieren.
Borat RAT sammelt aber auch Daten über das Betriebssystem und liest Browser-Informationen wie Cookies, Verlauf und Lesezeichen aus. Diese Daten werden an einer Befehlsserver übermittelt. Betroffen sind auch Chromium basierende Browser wie Chrome und Edge.