Un nuevo troyano de acceso remoto (RAT) llamado Borat ha aparecido en los mercados de la red oscura y ofrece varias funciones como por ejemplo realizar ataques DDoS, omitir el Control de Cuentas de Usuario, e implementar ransomware. Al tratarse de un RAT, Borat también permite a los villanos tomar el control del ratón y el teclado, acceder a archivos, puntos de red y ocultar cualquier señal de su presencia.
Gracias a su estructura modular, el malware permite a sus operadores elegir sus propias opciones de configuración para perpetrar ataques altamente personalizados.
Borat fue analizado por investigadores de Cyble Research Labs quienes lo detectaron en el medio silvestre, y probaron el malware para hacer un estudio técnico que reveló sus funcionalidades.
No está claro si Borat RAT se vende o se comparte libremente entre la comunidad de ciberdelincuentes, pero Cycle dice que viene en forma de un paquete que incluye un generador binario, los distintos módulos de malware y un certificado de servidor para establecer comunicaciones seguras con sus clientes.
Las características del troyano, cada una con su propio módulo dedicado, incluyen lo siguiente:
- Registro de teclas: controla y registra las pulsaciones del teclado y las guarda en un archivo txt.
- Ransomware: implementa cargas útiles de ransomware en la máquina de la víctima y genera automáticamente una nota de rescate.
- DDoS: dirige el tráfico basura a un servidor de destino utilizando los recursos de las máquinas comprometidas.
- Grabación de audio: graba audio a través del micrófono, si está disponible, y los guarda en un archivo wav.
- Grabación de cámara web: graba video desde la cámara web, si está instalada y habilitada en el dispositivo.
- Escritorio remoto: inicia un escritorio remoto oculto para realizar operaciones con archivos, usar dispositivos de entrada, ejecutar código, iniciar aplicaciones, etc.
- Proxy inverso: configura un proxy inverso para proteger la identidad del operador remoto.
- Información del dispositivo: recopila información básica del sistema.
- Vaciado de procesos: inyecta código malicioso en procesos legítimos para evadir la detección.
- Robo de credenciales: roba credenciales de las cuentas almacenadas en navegadores web basados en Chromium.
- Robo de tokens de Discord: el RAT también roba tokens de Discord (una serie única de números y letras que se crea cuando se inicia sesión) y envía la información al atacante.
También interrumpe y confunde a la víctima cuando reproduce audio, intercambia los botones del mousse, oculta el escritorio y la barra de tareas, paga el monitor, muestra una pantalla en blanco y cuelga el sistema.
Que se sepa, todavía no está siendo utilizado de forma masiva, pero sin duda, la combinación de troyano de acceso remoto, spyware y ransomware, lo convierte en una potente amenaza para cualquier máquina comprometida.
Y pesar de que el desarrollador de RAT decidió bautizarlo en honor al infame personaje principal de la película Borat, encarnado por Sacha Baron Cohen, el malware no es una broma en absoluto.
Por lo general, los ciberdelincuentes distribuyen este malware a través de ejecutables que se hacen pasar por cracks y generadores de claves para juegos y aplicaciones.
Así que ten cuidado a la hora de descargar contenido de fuentes no confiables, como torrents o sitios de warez.
Y debido a las muchas funciones que este malware ofrece a los ciberdelincuentes, abstente también de abrir enlaces y archivos adjuntos a los correos electrónicos que no sean de confianza sin antes verificar su autenticidad.
