安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一种新型RAT病毒Borat可以执行勒索软件和DDoS攻击（4.4）

Cyble的研究人员发现了一种名为Borat的新型远程访问木马(RAT)，能够进行DDoS和勒索软件攻击。

详细情况

来自Cyble公司的研究人员发现了一种名为Borat的新型RAT病毒，可以让操作人员获得对受感染系统的完全访问和远程控制。与其他RAT病毒不同，Borat RAT病毒为攻击者提供勒索软件和DDoS服务，以扩展攻击能力。

Borat RAT允许操作人员编译恶意软件二进制代码，以执行DDoS和勒索软件攻击。

Cybler专家报告说，Borat RAT包中包括了构建器二进制文件、几个模块、服务器证书等。

Borat RAT文档中的文件（Cyble提供）

RAT具有模块化结构，每个模块实现特定的功能。以下是Cyble分析的模块列表:

• 键盘记录程序 —— “Keylogger .exe” 模块负责监控和存储受害设备的键盘敲击。
• 勒索软件——该模块向受害设备发送勒索软件有效载荷，用于加密用户的文件以及索要赎金。
• DDOS——用于进行DDOS攻击。
• 音频记录——该模块可以记录计算机的音频。首先，它会检查受害设备里是否有麦克风。如果找到一个已连接的麦克风，RAT将记录所有音频，并将其保存在一个名为micaudio.wav的文件中。
• 网络摄像头录制——该模块记录来自网络摄像头的视频。
• 远程桌面——这个模块设置了一个隐藏的远程桌面，允许操作人员执行包括文件操作和代码执行在内的多种操作。
• 反向代理——该模块设置一个反向代理，以保护远程操作人员的身份不被暴露。
• 设备信息——该模块收集系统的基本信息
• 傀儡进程——该模块使用傀儡进程技术将恶意代码注入合法进程。
• 凭证窃取——该模块允许窃取存储在基于谷歌浏览器的帐户凭证。
• Discord令牌窃取——该模块允许从受感染的系统窃取Discord令牌。

该Borat RAT还能够执行播放音频、交换鼠标按钮、显示/隐藏桌面、显示/隐藏任务栏、按住鼠标、启用/禁用摄像头灯、关闭显示屏、白屏等行为来打扰受害者。

Cyble研究团队表示，“Borat RAT病毒是远程访问木马、间谍软件和勒索软件强大且独特的组合，使其成为一个三重威胁。Borat具有录制音频、控制网络摄像头和实施传统信息窃取行为的能力，是一个需要密切关注的威胁。新增的DDOS攻击功能则更须引起个人和组织的注意。”

参考链接

https://securityaffairs.co/wordpress/129805/malware/borat-rat-a-new-rat-that-performs-ransomware-and-ddos-attacks.html