Nieuwe Remote Access Trojan bevat mogelijkheden voor ransomware

Beveiligingsonderzoekers hebben nog een andere vervelende bedreiging uitgekozen die de komende maanden zeker golven zal maken in het infosec-landschap. De nieuwe malware heet Borat RAT, maar in tegenstelling tot het eigenzinnige karakter van Sacha Baron Cohen is het allerminst vermakelijk.

Borat RAT is geen eenvoudige trojan of RAT voor externe toegang. De malware is een Zwitsers mes van een toolkit, die de functionaliteit van een RAT combineert met spionage- en ransomware-mogelijkheden.

Borat RAT zeker geen grap

Zoals gebruikelijk is voor veel nieuwe malware-toolkits, wordt de Borat RAT verkocht op het dark web, met behulp van hackerforums om zichzelf te adverteren.

De volledige line-up van Borat RAT's functionaliteit is een beetje eng. De malware omvat een ransomware-module, een keylogger en een distributed denial of service (DDoS)-module. Spionagemogelijkheden omvatten audio-opname met behulp van de microfoon van het gecompromitteerde systeem en het vastleggen van video van een aangesloten webcam. Borat RAT kan ook screenshots maken, de muis en het toetsenbord van het slachtoffer overnemen en bestanden op het hostsysteem verwijderen. Het onderzoek naar de lading en mogelijkheden van de malware wordt gedaan door het cyberbeveiligingsteam van Cyble Research Labs.

Om geautomatiseerde beveiliging te omzeilen, gebruikt Borat RAT wat wordt aangeduid als "procesuitholling". Dit betekent dat de malware een legitiem proces compromitteert dat de beveiliging niet in gevaar brengt en kwaadaardige code uitvoert met behulp van de "uitgeholde" procesgeheugenruimte.

Ransomware in combinatie met grappen

Als klap op de vuurpijl kan de malware ook browsergegevens schrapen, inclusief geschiedenis, cookies en inloggegevens. Wat er ook wordt gevonden en geschraapt, wordt naar de command and control-server geëxfiltreerd. De auteurs van de kwaadaardige toolkit houden ook van een beetje plezier, zo lijkt het, aangezien Borat RAT zelfs grappen over het slachtoffer kan maken, waaronder het afspelen van audiosamples, het omwisselen van de linker- en rechtermuisknop of het uitschakelen van de monitor.

Hoewel deze speelse functies Borat RAT misschien een speels speeltje in de handen van hackers laten lijken, maken de ransomware-mogelijkheden het een bedreiging om op te letten. De rijke kwaadaardige suite die in hetzelfde pakket wordt aangeboden, zal waarschijnlijk veel hoopvolle hackers aantrekken, dus dit is waarschijnlijk niet de laatste die we van deze soort malware zullen zien.