Un malware recientemente descubierto que combina la funcionalidad de un troyano de acceso remoto (RAT), spyware y ransomware se describe como una grave amenaza triple para las organizaciones y, a diferencia de su homónimo, debe tomarse en serio.
El llamado malware Borat fue detectado por investigadores de Cyble Research Labs y aparentemente está circulando entre actores maliciosos en foros de la web oscura.
Borat sirve esencialmente como un tablero, lo que permite a sus usuarios compilar binarios de malware para realizar una variedad de funciones diferentes en sistemas comprometidos.
Su funcionalidad incluye registro de teclas; entrega de carga útil de ransomware; realizar ataques de denegación de servicio distribuido (DDoS); grabación de audio y cámara web; habilitar el acceso de escritorio remoto para su operador; habilitar el proxy inverso para realizar más actividades RAT de forma anónima; recopilar información sobre el dispositivo de la víctima; vaciado de procesos, una técnica utilizada por los actores de amenazas para inyectar código malicioso en un proceso legítimo; robo de credenciales del navegador; y robo de fichas de Discord.
También realiza una serie de acciones que parecen estar diseñadas para frustrar e irritar a sus víctimas, como reproducir audio no deseado, cambiar los botones del mouse, mostrar u ocultar el escritorio y las barras de tareas, etc.
“Borat RAT es una combinación potente y única de RAT, spyware y ransomware, lo que lo convierte en una triple amenaza para cualquier máquina comprometida”, dijo el equipo de investigación de Cyble.
“Con la capacidad de grabar audio y controlar la cámara web y llevar a cabo el comportamiento tradicional de robo de información, Borat es claramente una amenaza a la que hay que vigilar. La funcionalidad adicional para llevar a cabo ataques DDoS hace que esta sea una amenaza aún más peligrosa que las organizaciones y las personas deben tener en cuenta. El equipo de investigación de Cyble está monitoreando de cerca las acciones de la RAT y seguirá informando a nuestros clientes y personas en todo el mundo”.
Como la mayoría de las formas de malware, Borat se puede frustrar fácilmente prestando atención a las mejores prácticas estándar de seguridad cibernética, como mantener el software y los sistemas actualizados, realizar copias de seguridad de datos críticos y reforzar la higiene de credenciales y la conciencia de phishing.
Más información sobre Borat, incluidas capturas de pantalla, técnicas MITRE ATT&CK e indicadores de compromiso, está disponible en Cyble.
Chris Olson, CEO de la plataforma de seguridad digital The Media Trust, dijo que Borat expuso el papel clave que juegan los mercados de la dark web en el cibercrimen de hoy en día. “Son una de las muchas razones por las que estamos viendo un aumento en el malware basado en Web y Java con características sofisticadas como código polimórfico y ofuscado, cambio rápido de URL y más”, dijo.
“Se necesita poca experiencia para que los atacantes se dirijan a consumidores y organizaciones a través de superficies digitales, solo el dinero y la inclinación para adquirir el código correcto de los actores maliciosos que lo diseñan para ganarse la vida”.
Robert Shaughnessy, vicepresidente de operaciones del mercado federal de la consultora cibernética Grimm con sede en EE. UU., dijo: “Aunque los elementos individuales de Borat no parecen particularmente novedosos, la disponibilidad de un conjunto preempaquetado de herramientas maliciosas con capacidades integradas de gestión y control es una tendencia emergente.
“Los últimos meses han visto una aceleración en los carretes generalizados de herramientas y técnicas de malware a nivel mundial”, dijo. “Es probable que veamos más conjuntos de malware preempaquetados como Borat en el futuro cercano, a medida que más y más personas y organizaciones se aprovechan de la gran cantidad de software malicioso ahora disponible para obtener ganancias”.