23/10/20
Исследователь безопасности, использующий псевдоним 3xp0rt, обнаружил новый троян для удаленного доступа (RAT), рекламируемый на русскоязычных подпольных хакерских форумах. Вредоносное ПО под названием T-RAT продается за $45, а его основным преимуществом является возможность контролировать зараженные системы через Telegram-канал (а не через web-панель администрирования).
Как утверждает продавец, это предоставляет покупателям более быстрый и легкий доступ к зараженным компьютерам из любой точки, позволяя активировать функции кражи данных до того, как система обнаружит присутствие RAT.
Telegram-канал вредоноса поддерживает 98 команд, которые при вводе в главном окне чата позволяют владельцу RAT похищать пароли браузера и cookie-файлы, перемещаться по файловой системе жертвы в поисках конфиденциальных данных, загружать кейлоггер, записывать звук через микрофон, создавать скриншоты рабочего стола, делать фотографии через web-камеру и извлекать содержимое буфера обмена.
Кроме того, операторы T-RAT могут также установить модуль перехвата контроля над буфером обмена, подменяющий адреса криптовалюты, что позволяет злоумышленникам перехватывать финансовые транзакции жертв в таких программах, как Qiwi, WMR, WMZ, WME, WMX, Яндекс.деньги, Payeer, CC, BTC, BTCG, Ripple, Dogecoin и Tron.
Кроме того, RAT также может запускать команды (CMD и PowerShell), блокировать доступ к определенным web-сайтам (например, сайтам антивирусной защиты и технической поддержки), отключать процессы (программное обеспечение для обеспечения безопасности и отладки) и даже отключать панель задач и диспетчер задач.
