Nuevo RAT de Windows se puede controlar a través de un canal de Telegram

Investigadores de seguridad han descubierto un nuevo troyano de acceso remoto (RAT) que se anuncia en foros clandestinos de piratería de habla rusa. Nombrado T-RAT, el malware está disponible por solo US$45, y su principal punto de venta es la capacidad de controlar los sistemas infectados a través de un canal de Telegram, en lugar […]

Investigadores de seguridad han descubierto un nuevo troyano de acceso remoto (RAT) que se anuncia en foros clandestinos de piratería de habla rusa.

Nombrado T-RAT, el malware está disponible por solo US$45, y su principal punto de venta es la capacidad de controlar los sistemas infectados a través de un canal de Telegram, en lugar de un panel de administración basado en la web.

Su autor afirma que esto brinda a los compradores un acceso más rápido y fácil a las computadoras infectadas desde cualquier ubicación, lo que permite a los actores de amenazas activar funciones de robo de datos tan pronto como una víctima se infecte, antes de que se descubra la presencia de RAT.

Para esto, el canal de Telegram de la RAT admite 98 comandos que, cuando se escriben dentro de la ventana principal de chat, permiten al propietario de la RAT recuperar las contraseñas y cookies del navegador, navegar por el sistema de archivos de la víctima y buscar datos confidenciales, implementar un keylogger, grabar audio a través del micrófono. , tome capturas de pantalla del escritorio de la víctima, tome fotografías a través de la cámara web y recupere el contenido del portapapeles.

Además, los propietarios de T-RAT también pueden implementar un mecanismo de secuestro de portapapeles que reemplaza cadenas que parecen criptomonedas y direcciones de moneda digital con alternativas, lo que permite al atacante secuestrar transacciones para soluciones de pago como Qiwi, WMR, WMZ, WME, WMX, Yandex money, Payeer, CC, BTC, BTCG, Ripple, Dogecoin y Tron.

Además, el RAT también puede ejecutar comandos de terminal (CMD y PowerShell), bloquear el acceso a ciertos sitios web (como sitios de soporte técnico y antivirus), matar procesos (software de seguridad y depuración) e incluso deshabilitar la barra de tareas y el administrador de tareas.

Los sistemas de comando y control secundarios están disponibles a través de RDP o VNC, pero la función de Telegram es la que se anuncia a los compradores, principalmente debido a la facilidad de instalación y uso.

Telegram se está volviendo popular como canal de C&C de malware

El uso de Telegram como sistema de comando y control ha ido en aumento en los últimos años, y T-RAT ni siquiera es la primera RAT en implementar dicho modelo.

Los anteriores incluyen  RATAttack  (subido y eliminado de GitHub en 2017, dirigido a Windows),  HeroRAT  (utilizado en la naturaleza, dirigido a Android),  TeleRAT  (utilizado en la naturaleza contra iraníes, dirigido a Android),  IRRAT  (utilizado en la naturaleza, dirigido a Android). ),  RAT-via-Telegram  (disponible en GitHub, para Windows) y  Telegram-RAT  (disponible en GitHub, para Windows).