T-RAT 2.0 è una nuova versione del pericoloso Trojan di accesso remoto
Il nuovo T-RAT 2.0 per Windows permette il controllo dei sistemi su cui è installato, tramite Telegram, da qualsiasi smartphone, il malware T-RAT può recuperare password, registrare webcam e sequenze di tasti. Puoi proteggerti da questo virus e altri malware se utilizzi un potente antivirus.
T- RAT 2.0, un nuovo Trojan di accesso remoto (RAT), viene pubblicizzato nei forum di hacking russi, come hanno scoperto di recente gli esperti di sicurezza di Windows 10 .
Secondo quanto riferito, il RAT può essere acquistato per soli $ 45, ma non è questo che lo fa brillare. Tale malware rovinerà completamente i dispositivi, ruberà i tuoi dati e comprometterà account importanti.
A differenza di altri servizi simili, T RAT 2.0 consente agli agenti malevoli di controllare i sistemi compromessi attraverso i canali di Telegram , invece dei pannelli di amministrazione web.
Cos’è T-RAT 2.0?
T-RAT 2.0 è semplicemente uno dei più recenti Trojan di accesso remoto sul mercato. Il modo in cui funziona questo tipo di malware è concedere all’aggressore l’accesso remoto alla tua macchina.
Ciò che gli hacker possono fare da quel punto dipende strettamente dalle loro abilità e anche dalle capacità del RAT.
Alcuni RAT sono progettati solo per creare il panico con gli obiettivi (ad esempio aprire il vassoio del CD, spegnere il monitor, disabilitare i dispositivi di input), ma altri (incluso T-RAT) sono decisamente malvagi.
Apparentemente, ecco cosa può fare T-RAT 2.0 al tuo sistema, una volta che lo infetta:
1 Recupera cookie e password dal tuo browser
2 Concede all’autore dell’attacco l’accesso completo al tuo file system
3 Esegue registrazioni audio (richiede un dispositivo di ingresso audio come un microfono)
4 Registra le tue battiture
5 Disattiva la barra delle applicazioni
6 Usa la tua webcam per eseguire registrazioni video o scattare foto
7 Recupera il contenuto degli appunti
8 Cattura screenshot della visualizzazione corrente
9 Disabilita il tuo Task Manager
10 Hijack transazioni per diversi servizi, tra cui Ripple, Dogecoin, Qiwi e Yandex.Money
11 Esegue comandi CMD e PowerShell
12 Limita l’accesso a vari siti Web e servizi
13 Termina forzatamente i processi sul tuo computer
14 Utilizza RDP e / o VNC per eseguire ulteriori operazioni di controllo remoto
Malware RAT – Modalità di installazione
Dopo il buon esito di un’installazione, avvenuta a seguito di un accesso fisico diretto alla macchina oppure attraverso tecniche di phishing (o spear phishing), un allegato e-mail, un pacchetto software, delle pagine web e annunci pubblicitari compromessi (con tecniche drive by download), l’impianto RAT per ottenere il pieno accesso e controllo del target si basa solitamente su architetture client-server (o anche su modelli più evoluti cloud based):
- Una componente trojan installata sulla macchina della vittima che funge da server;
- una componente per il controllo remoto, presidiata dell’attaccante che funge da centrale di comando e controllo C2;
- la componente trojan stabilisce con la centrale di comando (o più server C2) una connessione diretta utilizzando una opportuna porta TCP predefinita del computer infettato;
- La centrale di comando C2, in modo simmetrico, crea una comunicazione remota sul computer della vittima.
Malware RAT – Modalità di funzionamento
A differenza della maggior parte dei malware che sono realizzati per scopi specifici, il RAT una volta stabilita la connessione remota può mettere a disposizione degli attaccanti una vasta gamma di impieghi possibili. Eccone alcuni:
- Controllo Webcam. Si possono attivare e controllare webcam e microfoni di un computer;
- Controllo Desktop. È possibile controllare un computer remoto per eseguire azioni arbitrarie e sfruttare la rete target come server proxy per agire in modo anonimo e a scapito delle ignare vittime con tecniche di mascheramento e impersonificazione;
- File Manager. Guadagnando un accesso amministrativo nei computer infettati, i RAT consentono di modificare qualsiasi file, cancellare interi dischi o addirittura inoculare contenuti malevoli (backdoor, worm, spyware);
- Keylogging. Da un computer infetto è possibile ottenere sequenze di tasti e file contenenti informazioni bancarie, password, dati sensibili o conversazioni personali;
- Botnet. I criminal hacker possono utilizzare strumenti RAT per assumere il controllo di una rete allo scopo di creare una botnet estesa su migliaia di computer e/o utilizzare le relative risorse per attacchi DDOS, attività criminali di mining (Bitcoin), di hosting file e di torrenting.
RAT – Scenario di attacco
I RAT commercialmente disponibili nei marketplace underground, in pacchetti già pronti e a prezzi non proibitivi (in media $150), rappresentano lo strumento maggiormente adoperato nelle campagne APT (Advanced Persistent Threat) per effettuare ricognizioni, arginare i protocolli di autenticazione, diffondere ulteriori malware e accedere a sistemi sensibili. Ecco uno scenario tipico di attacco:
- La ricognizione. Di solito i criminal hacker in una prima fase ricognitiva e di studio del target riescono a ricavare tutte le informazioni utili e a pianificare le fasi successive, attraverso tool o tecniche di social engineering;
- l’infiltrazione. Nel punto di partenza dell’attacco, il RAT permette, come testa di ponte, di installare un malware adeguato per colpire sistemi vulnerabili e consentire successivamente l’espansione all’interno della rete bersaglio ed avere il controllo su più dispositivi possibili;
- l’espansione. In questa fase il RAT, con funzioni backdoor, trasmette alla centrale di comando tutti i riscontri assunti sullevulnerabilità dei sistemi e dei protocolli utilizzati;
- l’estrazione. Nell’ultima fase, ma la più importante, l’attacco si concretizza sottraendo ogni tipo di informazione voluta e comunicata al presidio attraverso la componente backdoor preinstallata.
Come difendersi
Sebbene la maggior parte dei browser impedisce download automatici o perlomeno avvisa l’utente quando un sito non è sicuro, nel caso specifico può comunque essere difficile rilevare l’attività RAT. Infatti, queste attività in genere non rallentano i sistemi colpiti né si manifestano ma possono continuare in modo subdolo e segreto per lunghi periodi.
Pertanto sarebbe auspicabile seguire delle buone pratiche generali, anche assimilabili tramite una formazione di security awareness, complementari agli strumenti di protezione in uso che possono aiutare a prevenire tali minacce:
- non scaricare software da fonti non sicure e non affidabili (giochi, applicazioni, file torrent);
- non aprire allegati e-mail provenienti da potenziali datori di lavoro e mittenti improbabili;
- mantenere aggiornati browser e sistemi operativi con le relative patch di sicurezza;
- mantenere gli antivirus con le firme delle definizioni dei malware aggiornate;
- diffidare dalle richieste di installazione di applicazioni propinate in modo arbitrario;
- monitorare la velocità di connessione di rete, poiché l’attività RAT, utilizzando la larghezza di banda della connessione Internet, potrebbe peggiorarne le prestazioni;
- Utilizzare un task manager per cercare processi sconosciuti, anche se di norma i task imputabili ai RAT non vengono visualizzati tra i processi in esecuzione, e valutarne la rimozione.
