شرکت Cyble یک تروجان دسترسی از راه دور (RAT) با نام Borat را در دارکنت شناسایی کرده که امکان اجرای تقریبا هر اقدام مخربی را بر روی دستگاه قربانی برای مهاجم فراهم میکند.
از جمله قابلیتهای Borat میتوان به موارد زیر اشاره کرد:
- Keylogging که کلیدهای فشردهشده توسط کاربر را رصد و آنها را در یک فایل TXT ذخیره میکند؛
- Chrome Credential Stealing که امکان سرقت اطلاعات اصالتسنجی یا همان نامهای کاربری و گذرواژههای ذخیرهشده در مرورگرهای مبتنی بر Chromium را فراهم میکند؛
- Audio Recording که در صورت در دسترس بودن میکروفون، صدا را در قالب WAV ذخیره میکند؛
- Webcam Recording که از طریق دوربین دستگاه از فعالیتهای کاربر و محیط اطراف تصویربرداری میکند؛
- Remote Desktop که امکان اتصال و دسترسی مهاجمان را به دستگاه قربانی ممکن میکند؛
- Reverse Proxy که با ایجاد پراکسی معکوس، ردیابی نشانی IP سرورهای مهاجمان را دشوار میکند؛
- Process Injection که با تزریق کد بدافزار به پروسههای معتبر، شناسایی آنها توسط محصولات ضدویروس را سخت میکند؛
- Ransomware که مهاجم را قادر به اجرای کد باجافزار بر روی ماشین و ایجاد Ransom Note میکند؛
- DDoS که با استفاده از منابع دستگاه قربانی اقدام به ارسال ترافیک به سمت سرور مورد نظر مهاجمان میکند.
همچنین این RAT قادر به پخش یک فایل صوتی، جابجا کردن عملکرد دکمههای موس، مخفی کردن دسکتاپ و تسکبار، خاموش کردن مانیتور و ایجاد هنگی در سیستم قربانی است.
احتمالا جاسوسان سایبری و گردانندگان حملات هدفمند از مشتریان اصلی Borat خواهند بود.
مشروح گزارش Cyble در اینجا قابل دسترس است.
نشانههای آلودگی
fb120d80a8c3e8891e22f20110c8f0aa59d1b036
2a5ad37e94037a4fc39ce7ba2d66ed8a424383e4
5d8e8115489ac505c1d10fdd64e494e512dba793
d24d4fbd79967df196e77d127744659bbb2288d6
8bcdf790826a2ac7adfc1e8b214e8de43e086b97
2a29736882439ef4c9088913e7905c0408cb2443
82dda56bc59ac7db05eddbe4bcf0fe9323e32073
c68c30355599461aca7205a7cbdb3bb1830d59c8
b58555bebddf8e695880014d34a863a647da547e
dcf1ed3fbc56d63b42c88ede88f9cad1d509e7ec
d5db880256bffa098718894edf684ea0dc4c335d
69fbadc8a4461413c30cd0579d89f8668187e5a2
f23fd98f28bb0b482f0aae028172e11536e4688c
01610587bcfa7ac379b1f0169a2a9ab384b9116b
92c91f1db8c2c8cc34c2e1a26f4f970f1518a7ed
228de17938071733585842c59ffb99177831b558
228de17938071733585842c59ffb99177831b558
1b8e63d03feb84d995c02dcbb74da7edfaa8c763
b31455f9583b89cac9f655c136801673fb7b4b9a
d124869aaee9aa1a49def714774b834335aa746e
1a38a1182155429ecc64c20ece46ec0836c32ec7
535a4e525da7e98f4f4f69abc923a1065bd2d3fa
b9263ac725ccd8c664ae0f9da5fc0d00adcb8c5e
bbee0fa1c88edcd0469974223fb026e1176256dc
382bd4496eb7439fde85832abca87cc21cb7872f
9e72e85d13fe70c2518041e30d202f04b14324b6
941c50a425479c5f025fbb152a1a0754ac03c252
0272d8cc3456a9bdfff7431f9ce238c93511cacd
جالب بود ، فک نمیکردم بشه هک های دارک وب رو دریابی کرد چه برسه به اینکه بفهمن چی هس