Bei einer neuen Malware namens Borat handelt es sich nicht etwa um einen Aprilscherz, sondern um einen neuen, ausgefeilten Remote-Access-Trojaner (RAT), der auf Marktplätzen im Darknet vertrieben wird.
Fast jeder kennt ihn: Borat, Sasha Baron Cohens Kunstfigur im knappen, neongrünen Mankini. Doch jetzt sollte man sich vor Borat in Acht nehmen, denn die Sicherheitsforscher von Cyble haben eine neue Malware eben dieses Namens im Darknet entdeckt – und die ist den Erkenntnissen der Experten zufolge alles andere als lustig. Es handelt sich dabei um einen sogenannten Remote-Access-Trojaner (RAT), der es Angreifern ermöglicht, die vollständige Kontrolle über die Maus und die Tastatur ihrer Opfer zu übernehmen. Darüber hinaus kann die Malware auf Dateien und Netzwerkpunkte zugreifen und sich im System fast vollständig tarnen.
Angeboten wird Borat auf verschiedenen Marktplätzen im Darknet, ob er dort verkauft wird oder frei verfügbar ist, ist noch unklar. Kriminelle, die den RAT nutzen wollen, erhalten ein Paket, das einen Builder, die einzelnen Module der Malware und ein Serverzertifikat enthält. Damit bekommen sie ein leicht anzuwendendes Werkzeug, mit dem sowohl DDoS-Angriffe durchgeführt werden können als auch per User Account Control (UAC) Bypassing heimlich Admin-Berechtigungen erlangt werden können. Wem das noch nicht reicht, hat außerdem die Möglichkeit, Ransomware in die Systeme der Opfer zu schleusen. Dabei können die Kriminellen den Funktionsumfang von Borat ganz individuell zusammenstellen. So werden die einzelnen Payloads möglichst klein gehalten und die Malware verfügt über genau die Fähigkeiten, die sie für das Vorhaben der Hintermänner benötigt.
Wie groß dieser Funktionsumfang ist, stellten die Sicherheitsforscher von Cyble bei einer genaueren Analyse der Malware fest. Die verfügbaren Module reichen von Keylogging, Ransomware- und DDoS-Angriffen über Audio- und Webcam-Aufnahmen bis hin zur Installation eines versteckten Remote Desktop, der Einrichtung eines Reverse Proxy und Process Hollowing, also dem Einschleusen von Malware-Code in legitime Prozesse. Darüber hinaus können die Angreifer Systeminformationen abrufen, Anmeldeinformationen und sogar Discord-Token stehlen. Hinzu kommen Methoden, die das Opfer verwirren sollen, wie beispielsweise das Abspielen von Audio-Dateien, das Vertauschen der Maustasten, Ausblenden des Desktops oder der Taskleiste, Einfrieren des Mauszeigers, Ausschalten des Monitors, Anzeigen eines leeren Bildschirms oder Aufhängen des Systems.
Damit ist Borat im Grunde genommen mehr als ein einfacher RAT, denn er beinhaltet zusätzlich die Funktionen von Spyware und Ransomware – was ihn natürlich umso gefährlicher macht! Verbreitet wird Malware dieser Art typischerweise als ausführbare Dateien wie Office-Dokumente oder als Cracks für Spiele oder kostenpflichtige Programme. Letzteres ist besonders für Mitarbeitende im Homeoffice ein Risiko, die ihre gewohnte Software auch zu Hause nutzen wollen, ohne dabei den aufwendigeren Weg über die Unternehmens-IT zu gehen. Umso wichtiger ist es, sich die Gefahren durch solche Malware konstant ins Gedächtnis zu rufen – auch wenn es vielleicht manchmal wie der einfachere und schnellere Weg erscheint, sich ein Programm aus dem Netz zu besorgen.
www.8com.de