Crea sito

SICUREZZA: T-RAT 2.0 controllato da Telegram, una nuova minaccia alla sicurezza

11 / 100

T-RAT 2.0 è una nuova versione del pericoloso Trojan di accesso remoto
Il nuovo T-RAT 2.0 per Windows permette il controllo dei sistemi su cui è installato, tramite Telegram, da qualsiasi smartphone, il malware T-RAT può recuperare password, registrare webcam e sequenze di tasti. Puoi proteggerti da questo virus e altri malware se utilizzi un potente antivirus.

T- RAT 2.0, un nuovo Trojan di accesso remoto (RAT), viene pubblicizzato nei forum di hacking russi, come hanno scoperto di recente gli esperti di sicurezza di Windows 10 .

Secondo quanto riferito, il RAT può essere acquistato per soli $ 45, ma non è questo che lo fa brillare. Tale malware rovinerà completamente i dispositivi, ruberà i tuoi dati e comprometterà account importanti.

A differenza di altri servizi simili, T RAT 2.0 consente agli agenti malevoli di controllare i sistemi compromessi attraverso i canali di Telegram , invece dei pannelli di amministrazione web.

Cos’è T-RAT 2.0?

T-RAT 2.0 è semplicemente uno dei più recenti Trojan di accesso remoto sul mercato. Il modo in cui funziona questo tipo di malware è concedere all’aggressore l’accesso remoto alla tua macchina.

Ciò che gli hacker possono fare da quel punto dipende strettamente dalle loro abilità e anche dalle capacità del RAT.

Alcuni RAT sono progettati solo per creare il panico con gli obiettivi (ad esempio aprire il vassoio del CD, spegnere il monitor, disabilitare i dispositivi di input), ma altri (incluso T-RAT) sono decisamente malvagi.

Apparentemente, ecco cosa può fare T-RAT 2.0 al tuo sistema, una volta che lo infetta:

1 Recupera cookie e password dal tuo browser
2 Concede all’autore dell’attacco l’accesso completo al tuo file system
3 Esegue registrazioni audio (richiede un dispositivo di ingresso audio come un microfono)
4 Registra le tue battiture
5 Disattiva la barra delle applicazioni
6 Usa la tua webcam per eseguire registrazioni video o scattare foto
7 Recupera il contenuto degli appunti
8 Cattura screenshot della visualizzazione corrente
9 Disabilita il tuo Task Manager
10 Hijack transazioni per diversi servizi, tra cui Ripple, Dogecoin, Qiwi e Yandex.Money
11 Esegue comandi CMD e PowerShell
12 Limita l’accesso a vari siti Web e servizi
13 Termina forzatamente i processi sul tuo computer
14 Utilizza RDP e / o VNC per eseguire ulteriori operazioni di controllo remoto

Malware RAT – Modalità di installazione

Dopo il buon esito di un’installazione, avvenuta a seguito di un accesso fisico diretto alla macchina oppure attraverso tecniche di phishing (o spear phishing), un allegato e-mail, un pacchetto software, delle pagine web e annunci pubblicitari compromessi (con tecniche drive by download), l’impianto RAT per ottenere il pieno accesso e controllo del target si basa solitamente su architetture client-server (o anche su modelli più evoluti cloud based):

  • Una componente trojan installata sulla macchina della vittima che funge da server;
  • una componente per il controllo remoto, presidiata dell’attaccante che funge da centrale di comando e controllo C2;
  • la componente trojan stabilisce con la centrale di comando (o più server C2) una connessione diretta utilizzando una opportuna porta TCP predefinita del computer infettato; 
  • La centrale di comando C2, in modo simmetrico, crea una comunicazione remota sul computer della vittima.

Malware RAT – Modalità di funzionamento

A differenza della maggior parte dei malware che sono realizzati per scopi specifici, il RAT una volta stabilita la connessione remota può mettere a disposizione degli attaccanti una vasta gamma di impieghi possibili. Eccone alcuni:

  • Controllo Webcam. Si possono attivare e controllare webcam e microfoni di un computer;
  • Controllo Desktop. È possibile controllare un computer remoto per eseguire azioni arbitrarie e sfruttare la rete target come server proxy per agire in modo anonimo e a scapito delle ignare vittime con tecniche di mascheramento e impersonificazione;
  • File Manager. Guadagnando un accesso amministrativo nei computer infettati, i RAT consentono di modificare qualsiasi file, cancellare interi dischi o addirittura inoculare contenuti malevoli (backdoor, worm, spyware);
  • Keylogging. Da un computer infetto è possibile ottenere sequenze di tasti e file contenenti informazioni bancarie, password, dati sensibili o conversazioni personali;
  • Botnet. I criminal hacker possono utilizzare strumenti RAT per assumere il controllo di una rete allo scopo di  creare una botnet estesa su migliaia di computer e/o utilizzare le relative risorse per attacchi DDOS, attività criminali di mining (Bitcoin),  di hosting file e di torrenting. 

RAT – Scenario di attacco

I RAT commercialmente disponibili nei marketplace underground, in pacchetti già pronti e a prezzi non proibitivi (in media $150), rappresentano lo strumento maggiormente adoperato nelle campagne APT (Advanced Persistent Threat) per effettuare ricognizioni, arginare i protocolli di autenticazione, diffondere ulteriori malware e accedere a sistemi sensibili. Ecco uno scenario tipico di attacco:

  • La ricognizione. Di solito i criminal hacker  in una prima fase ricognitiva e di studio del target riescono a ricavare tutte le informazioni utili e a pianificare le fasi successive, attraverso  tool o tecniche di social engineering;
  • l’infiltrazione. Nel punto di partenza dell’attacco, il RAT permette, come testa di ponte, di installare un malware adeguato per colpire sistemi vulnerabili e consentire successivamente l’espansione all’interno della rete bersaglio ed avere il controllo su più dispositivi possibili;
  • l’espansione. In questa fase il RAT, con funzioni backdoor, trasmette alla centrale di comando tutti i riscontri assunti sullevulnerabilità dei sistemi e dei protocolli utilizzati;
  • l’estrazione. Nell’ultima fase, ma la più importante, l’attacco si concretizza sottraendo ogni tipo di informazione voluta e comunicata al presidio attraverso la componente backdoor preinstallata.

Come difendersi

Sebbene la maggior parte dei browser impedisce download automatici o perlomeno avvisa l’utente quando un sito non è sicuro, nel caso specifico può comunque essere difficile rilevare l’attività RAT. Infatti, queste attività in genere non rallentano i sistemi colpiti né si manifestano ma possono continuare in modo subdolo e segreto per lunghi periodi.

Pertanto sarebbe auspicabile seguire delle buone pratiche generali, anche assimilabili tramite una formazione di security awareness, complementari agli strumenti di protezione in uso che possono aiutare a prevenire tali minacce:

  • non scaricare software da fonti non sicure e non affidabili (giochi, applicazioni, file torrent);
  • non aprire allegati e-mail provenienti da potenziali datori di lavoro e mittenti improbabili; 
  • mantenere aggiornati browser e sistemi operativi con le relative patch di sicurezza;
  • mantenere gli antivirus con le firme delle definizioni dei malware aggiornate;
  • diffidare dalle richieste di installazione di applicazioni propinate in modo arbitrario;
  • monitorare la velocità di connessione di rete, poiché l’attività RAT, utilizzando la larghezza di banda della connessione Internet, potrebbe peggiorarne le prestazioni;
  • Utilizzare un task manager per cercare processi sconosciuti, anche se di norma i task imputabili ai RAT non vengono visualizzati tra i processi in esecuzione, e valutarne la rimozione.
Translate »