Beveiligingsonderzoekers hebben een nieuwe trojan voor externe toegang (Remote Access Trojan of RAT) ontdekt waarvoor reclame wordt gemaakt op een Russisch sprekende ondergronds hack forum.
De malware genaamd 'T-RAT' is beschikbaar voor slechts € 38,- ($ 45,-). Het belangrijkste verkoopargument is de mogelijkheid om geïnfecteerde systemen te beheren via een 'Telegram-kanaal' in plaats van een web gebaseerd beheer paneel.
Vertaling: "Een bijgewerkte, volwaardige RAT - in je zak. Krijg toegang en gebruik nu alle functionaliteit. Controle vanaf elk apparaat, alles wat je nodig hebt om het te laten werken, is internet en T-RAT"
Sneller en gemakkelijker
De maker beweert dat kopers van het product sneller en gemakkelijker toegang krijgen tot geïnfecteerde computers vanaf elke locatie. Waarbij hacker functies voor het stelen van gegevens of andere doeleinden makkelijk en gebruiksvriendelijk geactiveerd kunnen worden zodra een slachtoffer is geïnfecteerd. Hierdoor is de kans dat het slachtoffer de malware ontdekt alvorens de hacker heeft toegeslagen aanzienlijk verkleind.
Het Telegram-kanaal van de RAT ondersteund maar liefst '98 commando's'. Wanneer deze commando's in het hoofd chatvenster worden ingevoerd kan de RAT-eigenaar de volgende taken laten uitvoeren, browser wachtwoorden en cookies ophalen, door het bestandssysteem van het slachtoffer navigeren en naar gevoelige gegevens zoeken, een keylogger inzetten, audio opnemen via microfoon, screenshots maken van het bureaublad van het slachtoffer, foto's via de webcam maken en het kopiëren van het klembord.
Bovendien kunnen T-RAT-eigenaren ook een klembord kaping mechanisme inzetten dat strings die eruitzien als cryptocurrency en digitale valuta-adressen vervangt door alternatieven, waardoor de aanvaller transacties kan kapen voor betalingsoplossingen zoals Qiwi, WMR, WMZ, WME, WMX, Yandex-geld, Payeer, CC, BTC, BTCG, Ripple, Dogecoin en Tron.
Bovendien kan de RAT ook terminalopdrachten uitvoeren (CMD en PowerShell), de toegang tot bepaalde websites blokkeren (zoals antivirus- en technische ondersteuningssites), processen beëindigen (beveiligings- en fout opsporingssoftware) en zelfs de taakbalk en de taakbeheerder uitschakelen.
Secundaire commando- en controlesystemen zijn beschikbaar via RDP of VNC, maar de Telegram-functie is degene waar reclame voor wordt gemaakt, voornamelijk vanwege het gemak van installatie en gebruik.
Vertaling voor eerste alinea: "Wat krijg je? Een volwaardige RAT voor Telegram. Ons product implementeert interessante en vooral noodzakelijke functionaliteit. De functionaliteit van een RAT, stealer, keylogger VNC, HRDP, clipper, verborgen proxyserver wordt gecombineerd in je zak en nog veel meer. We nodigen je uit om onze functionaliteit nader te bekijken. " De volgende alinea leggen stealer en clipper uit.
Onderzoekers bevestigen
Hoewel veel cybercriminelen vaak overdrijven in hun advertenties over de functies, werden de mogelijkheden van T-RAT bevestigd in een analyse door G DATA-beveiligingsonderzoeker Karsten Hahn.
In een gesprek met ZDNet zei Hahn dat T-RAT slechts de nieuwste is in een reeks recente malware families die worden geleverd met een control-by-Telegram-mogelijkheid.
Telegram als commando- en controlesysteem
Het gebruik van Telegram als een commando- en controlesysteem is de laatste jaren in opkomst en T-RAT is niet eens de eerste RAT die een dergelijk model implementeert.
Eerdere varianten, RATAttack (geüpload en verwijderd van GitHub in 2017, gericht op Windows), HeroRAT (richtte zich op Android), TeleRAT (gebruikt tegen Iraniërs, richtte zich op Android), IRRAT (richt zich op Android), RAT-via-Telegram (beschikbaar op GitHub, gericht op Windows) en Telegram-RAT (beschikbaar op GitHub, voor Windows).
Voorlopig is de dreiging van T-RAT relatief laag. Het duurt gewoonlijk een paar maanden voordat bedreigingsactoren leren een nieuwe commerciële malware familie te vertrouwen, Hahn gelooft echter dat de RAT al de interesse gewekt heeft bij cybercriminelen.
"Er zijn regelmatig uploads van nieuwe T-RAT-samples naar VirusTotal," vertelde Hahn aan ZDNet."Ik neem aan dat het in distributie is, maar ik heb er verder geen bewijs van."
Maar T-RAT is niet de enige nieuwe RAT die tegenwoordig te koop wordt aangeboden. Volgens Recorded Future is er nog een nieuwe RAT geadverteerd op hackforums genaamd 'Mandaryna'.
Bron: gdatasoftware.com, blackhatethicalhacking.com