Posté le avril 6, 2022 à 12:06
LE NOUVEAU CHEVAL DE TROIE D’ACCÈS À DISTANCE BORAT OFFRE DE MULTIPLES POSSIBILITÉS AUX HACKERS
Des chercheurs en sécurité ont découvert un nouveau cheval de Troie d’accès à distance (RAT) appelé « Borat », qui semble amusant mais qui donne aux acteurs de menaces une nouvelle dimension d’attaque.
Dans une récente analyse de logiciels malveillants effectuée par Cyble Research Labs, les chercheurs ont noté que la nouvelle menace n’utilise pas les capacités standards d’accès à distance. Elle comprend plutôt des options de ransomware et de spyware.
Les chercheurs ont ajouté que le personnage adopté par le comédien Sacha Baron Cohen est mis en vente par des hackers sur des forums clandestins.
Ils ont également découvert que le RAT Borat dispose d’un tableau de bord centralisé contenant le certificat du serveur, des modules de fonctionnalités et un constructeur qui permet aux acteurs de menaces de lancer des attaques réussies.
Le logiciel malveillant possède de vastes capacités
Les chercheurs ont également expliqué que le nouveau logiciel malveillant possède de vastes capacités, qui comprennent un composant de ransomware, un composant de cryptage de fichiers et un enregistreur de frappe.
Il offre également la possibilité aux utilisateurs de générer des notes de rançon supplémentaires, ainsi qu’une fonction de déni de service distribué (DDoS). Celle-ci peut être utilisée par l’acteur de la menace pour perturber le trafic normal du serveur ciblé.
Les RAT sont généralement utilisés par les acteurs de menaces qui cherchent à obtenir un accès complet aux systèmes de leurs cibles. Ils leur permettent d’accéder facilement aux ressources et aux fichiers du réseau, ainsi que de manipuler le clavier et la souris. Certains des RAT les plus avancés peuvent également être déployés pour perturber le système de caméras de l’ordinateur ciblé. Selon les chercheurs de Cyble, Borat possède toutes ces capacités et même plus.
Outre sa capacité à distribuer des attaques DDoS, Borat permet également aux hackers d’installer des logiciels malveillants et de mener des attaques en ligne. Les chercheurs ont également noté que le logiciel malveillant Borat est mis en vente pour d’autres acteurs de menaces sur le darknet. Cela signifie qu’il y a une forte possibilité d’obtenir plusieurs copies du logiciel malveillant en ligne, ce qui n’est pas une bonne chose pour les entreprises et les équipes de cybersécurité.
Ce qui rend ce type de logiciel malveillant plus intéressant, c’est sa capacité à fournir un ransomware qui peut crypter des fichiers et demander une rançon. Comme il peut créer une note de rançon sur l’appareil ciblé, d’autres acteurs malveillants pourraient être intéressés par l’achat ou l’utilisation de ce logiciel malveillant. En outre, une fois la rançon payée, le logiciel malveillant est capable de décrypter les fichiers du système pour les rendre accessibles à l’utilisateur. Cela signifie que les acteurs de menaces peuvent mener à bien leurs activités, demander une rançon, se faire payer et décrypter le fichier en utilisant uniquement le logiciel malveillant.
La capacité polyvalente du logiciel malveillant Borat le rend très dangereux pour les utilisateurs et très menaçant pour les organisations de cybersécurité.
La RAT équipe les acteurs de menaces pour une attaque DDoS
Un autre aspect intéressant du logiciel malveillant est le fait qu’il peut développer du code pour les attaques DDoS, ce qui permet aux attaquants de perturber très facilement les réseaux et de demander une rançon. Dans les attaques DDoS, l’acteur de la menace envoie une quantité écrasante de trafic qui perturbe les performances du réseau ciblé.
La quantité extrêmement élevée de trafic peut entraîner un dysfonctionnement du réseau ou l’arrêt de l’envoi de réponses aux utilisateurs légitimes. Cela peut durer des heures ou des jours, jusqu’à ce qu’une rançon soit payée pour mettre fin à l’attaque.
Ainsi, outre les attaquants de logiciels malveillants, les attaquants DDoS peuvent également tirer un avantage considérable du cheval de Troie Borat. Dans la plupart des cas, il faut payer la rançon pour que l’attaque s’arrête et que le système revienne à la normale.
Le logiciel malveillant possède des capacités de surveillance à distance
Les experts en cybersécurité s’inquiètent également des capacités de surveillance à distance dont dispose le nouveau cheval de Troie. Il permet aux acteurs de menaces d’espionner facilement l’appareil et son utilisateur à distance. Il utilise un enregistreur de frappe qui enregistre les frappes au clavier de l’ordinateur de l’utilisateur. Le logiciel malveillant enregistre les frappes dans un fichier avant de les exfiltrer vers le serveur C2 de l’attaquant.
La RAT peut également récupérer des informations sur l’ordinateur de la victime et enregistrer ou mettre en signet les identifiants de connexion des systèmes exécutant Microsoft Edge ou Chrome.
Borat détermine si le système dispose d’un microphone connecté. Il procède ensuite à l’enregistrement audio de l’entreprise après avoir découvert un microphone. De même, il recherche une webcam et commence à enregistrer à partir de celle-ci. Ce logiciel malveillant peut faire presque tout ce qu’il veut sur l’ordinateur de la victime, ce qui en fait l’un des chevaux de Troie les plus dangereux à l’heure actuelle.
Et le fait qu’il puisse être utilisé par presque tout le monde le rend encore plus puissant. Les capacités du cheval de Troie le rendent très dangereux. C’est pourquoi les chercheurs en sécurité de Cyble fournissent autant d’informations que possible sur la menace que représente ce logiciel malveillant afin de permettre aux utilisateurs de protéger leurs systèmes.
