Borat, nuovo malware remote control

Di recente ha fatto la sua comparsa Borat, un nuovissimo malware di accesso remoto, noto in gergo informatico come RAT (Remote Access Trojan).

Il trojan è stato scoperto per la prima volta a primavera 2022 da Cyble, un’azienda di cybersecurity americana che lo ha analizzato nel minimi dettagli.

Nonostante il nome preso dal personaggio irriverente, Borat è un trojan che offre funzioni estremamente avanzate per essere una RAT tra cui la possibilità di condurre attacchi di tipo DDoS, bypass UAC e può a sua volta distribuire infezioni ransomware.

La caratteristica che rende malware Borat una minaccia preoccupante per molte organizzazioni è il fatto che riesca a nascondersi a bordo di qualsiasi device anche per periodi lunghi. Infatti, l’infezione consente all’attaccante di assumere il pieno controllo del dispositivo della vittima e di manipolare dunque interi punti di rete, l’accesso ai file oltre e di intercettare movimenti e attività di tastiera e mouse.

Al fine di comprendere i motivi che ci spingono a mettervi in guardia da questo malware abbiamo deciso di dedicare un’articolo del nostro blog proprio a malware Borat. In questo articolo approfondiremo questo nuovo RAT: dal suo esordio sino a come evitarlo.

1. Un malware proveniente dal dark web
2. Cosa rende pericoloso Borat malware?
3. Le funzionalità di virus Borat
4. Lo scopo di Borat virus per pc
5. Una minaccia in continua evoluzione
6. Come evitare di installare Borat

Borat malware viene distribuito sulle darknet, rendendolo così di facile accesso a chiunque riesca ad accedervi.

Non è chiaro se questo malware venga distribuito gratuitamente, o se sia in vendita sui marketplace del dark web.
Tuttavia, sappiamo che viene distribuito sotto forma di pacchetto con builder, moduli e un certificato server.

La versatilità sembra il tratto dominante del trojan Borat, che offre svariate funzioni di hacking. Ebbene sì, potremo definire Borat virus come un malware poliedrico, capace di portare a termine attacchi di diversa natura.
Sono presenti le seguenti funzionalità, ciascuna il proprio modulo specifico:

• Keylogging. Si tiene traccia delle sequenze di tasti e le salva in un file di testo.
• DDoS: invia traffico spazzatura ed eccessivo a un server mirato, utilizzando le risorse del sistema infetto;
• Ransomware, invia i payload del ransomware alla postazione della vittima, generando automaticamente una nota di riscatto;
• Registrazione con webcam: con funzionalità di spionaggio altamente invasiva;
• Registrazione audio, salvandolo come file WAV;
• Raccolta informazioni sul dispositivo, le informazioni di base sul sistema vengono raccolte;
• Desktop remoto, avviato per eseguire operazioni sui file, eseguire codice, accedere a dispositivi di input, avviare applicazioni, ecc.;
• Proxy inverso, nascondendo così l’identità dell’operatore remoto dalla rivelazione;
• Credential stuffing soprattutto i dettagli dell’account salvati nei browser Web basati sul sistema operativo Chromium;
• Process Hollowing, un codice dannoso è iniettato nei processi legittimi per evitare il rilevamento, rendendo difficile il lavoro dell’antivirus.
• Inoltre, disturba e confonde la vittima facendo problemi nel sistema, negli impianti audio e nel deskop, come far sparire la home, lampeggiare uno schermo vuoto, nascondendo la barra delle applicazioni e il desktop, ecc. Forse è questo “scherzo di cattivo gusto” che hanno dato i natali al nome Borat.

Borat possiede un arsenale completo, a disposizione degli utenti affiliati.
L’attacco del malware ha inizio dal momento ce l’utente vittima fa clic su un collegamento o un documento infetto che dà il pieno controllo del dispositivo all’attaccante.

• Ogni azione si potrà eseguire a remoto. Infatti, l’infezione dà la possibilità all’attaccante di controllare il desktop remoto della vittima.

• L’attaccante è inoltre in grado di eliminare o modificare file critici, rubare i cookie e le credenziali presenti in memoria

• La funzionalità in grado di predisporre attacchi DDoS lo rende particolarmente pesante e impattante, rispetto ai suoi predecessori.

• Con l’aumento di infezioni, è facile costruire una botnet mirata contro un obiettivo univoco.

• Incluso in una DLL del pacchetto Borat malware è già incluso già il testo per compilare la richiesta di riscatto.

Qual è lo scopo di questo Trojan in questione?

Senza dubbio, esaminare gli attaccanti ricorrono al RAT per cercare eventuali punti deboli del sistema della vittima.

Un altro dei tanti scopi di Borat potrebbe essere quello di fungere da estrattore di dati personali.
Tra le informazioni che più di frequente vengono estrapolate dal malware ritroviamo:

• credenziali del conto bancario
• e-mail riservate

e

• account social media

Tali malware sono utilizzate per rubare e sfruttare informazioni private.

La situazione diventa molto più grave quando nel mirino c’è un’impresa, dove i dati personali di titolari, dipendenti e clienti possono essere rubati ed utilizzati a loro sfavore. I motivi che potrebbero spingere l’attaccante a prendervi di mira potrebbero essere i più svariati:

• per causare un sanno diretto sul piano economico
• per ledere la reputazione dell’azienda

o, in alcuni casi

• anche per concorrenza sleale.

Dan Duran, advisor dell’azienda Rhyno Cybersecurity, ha dichiarato:

“La funzione desktop remoto inclusa in Borat può devastare aziende, consentendo all’autore della minaccia di eliminare informazioni critiche/diritti intellettuali, acquisire la versione del sistema operativo e il modello del computer e rubare potenziali cookie/credenziali di accesso salvate. Di conseguenza, le aziende devono fare attenzione alla minaccia e prepararsi a tali attacchi.

Le organizzazioni devono consentire ai propri dipendenti di comprendere meglio l’attuale panorama delle minacce. Investire nelle giuste tecnologie e sviluppare solide misure di verifica può garantire che le persone giuste abbiano accesso alle informazioni corrette.”

Questo nuovo ceppo di malware si aggiunge all’ecosistema in continua crescita e evoluzione della criminalità informatica.

Borat RAT è un malware unico e potente che combina funzionalità RAT, spyware e ransomware.

Questi attacchi sono eccezionalmente efficaci e possono essere lanciati a un costo relativamente basso, anche da piccoli team di cybercriminali con pochi fondi alle spalle.

Pertanto, le minacce DDoS e ransomware rimarranno un rischio persistente per le organizzazioni, imprese e aziende di tutto il mondo.

Di solito, i RAT come Borat sono distribuiti tramite file eseguibili, o file crack per giochi, programmi e applicazioni.

Quindi, gli utenti dovrebbero fare attenzione a non scaricare eseguibili da fonti inaffidabili come torrent o da siti web poco affidabili.
Il software antivirus dovrebbe essere utilizzato per scansionare gli eseguibili alla ricerca di payload dannosi, prima del download.

Per aiutare gli utenti a evitare la minaccia Borat, abbiamo preparato diversi suggerimenti da seguire:

• Esaminare l’uso di strumenti di amministrazione remota per applicazioni e sistemi di rete industriale.

• Rimuovere qualsiasi software di amministrazione remota non necessario per il processo industriale.

• Non aprire allegati e-mail o collegamenti non attendibili senza prima verificarne l’autenticità;

• Utilizzare il software antivirus su qualsiasi dispositivo connesso, inclusi dispositivi mobili, laptop e PC;

• Abilitare gli aggiornamenti automatici sui dispositivi ogni volta che è possibile e pratico;

• Usare password complesse e abilitare l’autenticazione a più fattori ovunque sia possibile e praticabile;

• È meglio non conservare i file importanti in posizioni comuni come Documenti o Desktop.