Le nouveau logiciel malveillant d’accès à distance Borat n’est pas un sujet de plaisanterie

borat

Un nouveau cheval de Troie d’accès à distance (RAT) nommé Borat est apparu sur les marchés du darknet, offrant des fonctionnalités faciles à utiliser pour mener des attaques DDoS, contourner l’UAC et déployer des ransomwares.

En tant que RAT, Borat permet aux pirates distants de prendre le contrôle total de la souris et du clavier de leur victime, d’accéder aux fichiers, aux points réseau et de masquer tout signe de leur présence.

Le logiciel malveillant laisse ses opérateurs choisir leurs options de compilation pour créer de petites charges utiles contenant précisément ce dont ils ont besoin pour des attaques hautement personnalisées.

Borat a été analysé par des chercheurs de Cyblequi l’a repéré dans la nature et a échantillonné le malware pour une étude technique qui a révélé sa fonctionnalité.

Certaines des fonctionnalités de Borat
Certaines des fonctionnalités de Borat (Cyble)

Fonctionnalités étendues

On ne sait pas si le Borat RAT est vendu ou librement partagé entre les cybercriminels, mais Cycle dit qu’il se présente sous la forme d’un package qui comprend un constructeur, les modules du malware et un certificat de serveur.

Fichiers dans l'archive Borat RAT
Fichiers dans l’archive Borat RAT (Cyble)

Les fonctionnalités du cheval de Troie, chacune ayant son propre module dédié, incluent les suivantes :

  • Keylogging – surveillez et enregistrez les pressions sur les touches et stockez-les dans un fichier txt
  • Ransomware – déployez des charges utiles de ransomware sur la machine de la victime et générez automatiquement une note de rançon via Borat
  • DDoS – dirige le trafic indésirable vers un serveur cible en utilisant les ressources de la machine compromise
  • Enregistrement audio – enregistrez l’audio via le microphone, si disponible, et stockez-le dans un fichier wav
  • Enregistrement par webcam – enregistrez la vidéo à partir de la webcam, si disponible
  • Bureau à distance – démarrez un bureau à distance caché pour effectuer des opérations sur les fichiers, utiliser des périphériques d’entrée, exécuter du code, lancer des applications, etc.
  • Proxy inverse – configurez un proxy inverse pour empêcher l’opérateur distant de voir son identité exposée
  • Informations sur l’appareil – recueillir des informations de base sur le système
  • Effacement de processus – injectez du code malveillant dans des processus légitimes pour échapper à la détection
  • Vol d’informations d’identification – voler les informations d’identification de compte stockées dans les navigateurs Web basés sur Chromium
  • Vol de jetons Discord – voler des jetons Discord à la victime
  • Autres fonctions – perturber et confondre la victime en jouant de l’audio, en échangeant les boutons de la souris, en masquant le bureau, en masquant la barre des tâches, en tenant la souris, en éteignant le moniteur, en affichant un écran vide ou en suspendant le système
Plus de fonctionnalités de Borat
Plus de fonctionnalités annoncées de Borat (Cyble)

Comme indiqué dans l’analyse de Cyble, les fonctionnalités ci-dessus font de Borat essentiellement un RAT, un logiciel espion et un logiciel de rançon, c’est donc une menace puissante qui pourrait mener une variété d’activités malveillantes sur un appareil.

Dans l’ensemble, même si le développeur du RAT a décidé de lui donner le nom du personnage principal de la comédie Borat, incarné par Sacha Baron Cohen, le malware n’est pas du tout une blague.

En creusant plus profondément pour essayer de trouver l’origine de ce malware, EZpublish-france.fr a découvert que l’exécutable de la charge utile avait été récemment identifié comme AsyncRATil est donc probable que son auteur ait basé son travail dessus.

En règle générale, les pirates distribuent ces outils via des exécutables ou des fichiers qui se font passer pour des cracks pour les jeux et les applications. Veillez donc à ne rien télécharger à partir de sources non fiables telles que des torrents ou des sites louches.