Sicurezza

T-RAT 2.0 controllato da Telegram, una nuova minaccia alla sicurezza

13 Febbraio 2022
Luca Angeli
()

T-RAT 2.0 è una nuova versione del pericoloso Trojan di accesso remoto
Il nuovo T-RAT 2.0 per Windows permette il controllo dei sistemi su cui è installato, tramite Telegram, da qualsiasi smartphone, il malware T-RAT può recuperare password, registrare webcam e sequenze di tasti. Puoi proteggerti da questo virus e altri malware se utilizzi un potente antivirus.

T- RAT 2.0, un nuovo Trojan di accesso remoto (RAT), viene pubblicizzato nei forum di hacking russi, come hanno scoperto di recente gli esperti di sicurezza di Windows 10 .

Secondo quanto riferito, il RAT può essere acquistato per soli $ 45, ma non è questo che lo fa brillare. Tale malware rovinerà completamente i dispositivi, ruberà i tuoi dati e comprometterà account importanti.

A differenza di altri servizi simili, T RAT 2.0 consente agli agenti malevoli di controllare i sistemi compromessi attraverso i canali di Telegram , invece dei pannelli di amministrazione web.

Cos’è T-RAT 2.0?

T-RAT 2.0 è semplicemente uno dei più recenti Trojan di accesso remoto sul mercato. Il modo in cui funziona questo tipo di malware è concedere all’aggressore l’accesso remoto alla tua macchina.

Ciò che gli hacker possono fare da quel punto dipende strettamente dalle loro abilità e anche dalle capacità del RAT.

Alcuni RAT sono progettati solo per creare il panico con gli obiettivi (ad esempio aprire il vassoio del CD, spegnere il monitor, disabilitare i dispositivi di input), ma altri (incluso T-RAT) sono decisamente malvagi.

Apparentemente, ecco cosa può fare T-RAT 2.0 al tuo sistema, una volta che lo infetta:

1 Recupera cookie e password dal tuo browser
2 Concede all’autore dell’attacco l’accesso completo al tuo file system
3 Esegue registrazioni audio (richiede un dispositivo di ingresso audio come un microfono)
4 Registra le tue battiture
5 Disattiva la barra delle applicazioni
6 Usa la tua webcam per eseguire registrazioni video o scattare foto
7 Recupera il contenuto degli appunti
8 Cattura screenshot della visualizzazione corrente
9 Disabilita il tuo Task Manager
10 Hijack transazioni per diversi servizi, tra cui Ripple, Dogecoin, Qiwi e Yandex.Money
11 Esegue comandi CMD e PowerShell
12 Limita l’accesso a vari siti Web e servizi
13 Termina forzatamente i processi sul tuo computer
14 Utilizza RDP e / o VNC per eseguire ulteriori operazioni di controllo remoto

Malware RAT – Modalità di installazione

Dopo il buon esito di un’installazione, avvenuta a seguito di un accesso fisico diretto alla macchina oppure attraverso tecniche di phishing (o spear phishing), un allegato e-mail, un pacchetto software, delle pagine web e annunci pubblicitari compromessi (con tecniche drive by download), l’impianto RAT per ottenere il pieno accesso e controllo del target si basa solitamente su architetture client-server (o anche su modelli più evoluti cloud based):

  • Una componente trojan installata sulla macchina della vittima che funge da server;
  • una componente per il controllo remoto, presidiata dell’attaccante che funge da centrale di comando e controllo C2;
  • la componente trojan stabilisce con la centrale di comando (o più server C2) una connessione diretta utilizzando una opportuna porta TCP predefinita del computer infettato; 
  • La centrale di comando C2, in modo simmetrico, crea una comunicazione remota sul computer della vittima.

Malware RAT – Modalità di funzionamento

A differenza della maggior parte dei malware che sono realizzati per scopi specifici, il RAT una volta stabilita la connessione remota può mettere a disposizione degli attaccanti una vasta gamma di impieghi possibili. Eccone alcuni:

  • Controllo Webcam. Si possono attivare e controllare webcam e microfoni di un computer;
  • Controllo Desktop. È possibile controllare un computer remoto per eseguire azioni arbitrarie e sfruttare la rete target come server proxy per agire in modo anonimo e a scapito delle ignare vittime con tecniche di mascheramento e impersonificazione;
  • File Manager. Guadagnando un accesso amministrativo nei computer infettati, i RAT consentono di modificare qualsiasi file, cancellare interi dischi o addirittura inoculare contenuti malevoli (backdoor, worm, spyware);
  • Keylogging. Da un computer infetto è possibile ottenere sequenze di tasti e file contenenti informazioni bancarie, password, dati sensibili o conversazioni personali;
  • Botnet. I criminal hacker possono utilizzare strumenti RAT per assumere il controllo di una rete allo scopo di  creare una botnet estesa su migliaia di computer e/o utilizzare le relative risorse per attacchi DDOS, attività criminali di mining (Bitcoin),  di hosting file e di torrenting. 

RAT – Scenario di attacco

I RAT commercialmente disponibili nei marketplace underground, in pacchetti già pronti e a prezzi non proibitivi (in media $150), rappresentano lo strumento maggiormente adoperato nelle campagne APT (Advanced Persistent Threat) per effettuare ricognizioni, arginare i protocolli di autenticazione, diffondere ulteriori malware e accedere a sistemi sensibili. Ecco uno scenario tipico di attacco:

  • La ricognizione. Di solito i criminal hacker  in una prima fase ricognitiva e di studio del target riescono a ricavare tutte le informazioni utili e a pianificare le fasi successive, attraverso  tool o tecniche di social engineering;
  • l’infiltrazione. Nel punto di partenza dell’attacco, il RAT permette, come testa di ponte, di installare un malware adeguato per colpire sistemi vulnerabili e consentire successivamente l’espansione all’interno della rete bersaglio ed avere il controllo su più dispositivi possibili;
  • l’espansione. In questa fase il RAT, con funzioni backdoor, trasmette alla centrale di comando tutti i riscontri assunti sullevulnerabilità dei sistemi e dei protocolli utilizzati;
  • l’estrazione. Nell’ultima fase, ma la più importante, l’attacco si concretizza sottraendo ogni tipo di informazione voluta e comunicata al presidio attraverso la componente backdoor preinstallata.

Come difendersi

Sebbene la maggior parte dei browser impedisce download automatici o perlomeno avvisa l’utente quando un sito non è sicuro, nel caso specifico può comunque essere difficile rilevare l’attività RAT. Infatti, queste attività in genere non rallentano i sistemi colpiti né si manifestano ma possono continuare in modo subdolo e segreto per lunghi periodi.

Pertanto sarebbe auspicabile seguire delle buone pratiche generali, anche assimilabili tramite una formazione di security awareness, complementari agli strumenti di protezione in uso che possono aiutare a prevenire tali minacce:

  • non scaricare software da fonti non sicure e non affidabili (giochi, applicazioni, file torrent);
  • non aprire allegati e-mail provenienti da potenziali datori di lavoro e mittenti improbabili; 
  • mantenere aggiornati browser e sistemi operativi con le relative patch di sicurezza;
  • mantenere gli antivirus con le firme delle definizioni dei malware aggiornate;
  • diffidare dalle richieste di installazione di applicazioni propinate in modo arbitrario;
  • monitorare la velocità di connessione di rete, poiché l’attività RAT, utilizzando la larghezza di banda della connessione Internet, potrebbe peggiorarne le prestazioni;
  • Utilizzare un task manager per cercare processi sconosciuti, anche se di norma i task imputabili ai RAT non vengono visualizzati tra i processi in esecuzione, e valutarne la rimozione.
/ 5
Grazie per aver votato!

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Mappa del Sito - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario