Detectar el Malware de Acceso Remoto Borat

[post-views]
abril 08, 2022 · 3 min de lectura
Detectar el Malware de Acceso Remoto Borat

Una nueva herramienta de acceso remoto complicada llamada Borat RAT fue encontrada por investigadores de ciberseguridad. Tal como sugiere el nombre, es una mezcla loca de cosas que es difícil de entender. Borat Trojan es una colección de módulos de malware que viene con un generador y un certificado de servidor que incluye más de 10 funciones maliciosas.

Si Borat entra en el sistema, es capaz de tomar el control del ratón y teclado, archivos y recursos de red, capaz de grabación de video y audio, robo de credenciales, DDoS, ransomware, keylogging y mucho más. Para colmo, Borat RAT ofusca datos para hacer su presencia imperceptible. Aprenda más sobre las soluciones que proponemos para detectar el malware mencionado anteriormente.

Detección de malware de acceso remoto Borat

Puede detectar generadores de Borat (RAT) implementando la regla más reciente creada por nuestro desarrollador de Threat Bounty Furkan Celik.

Detección del Trojan de acceso remoto Borat que habilita ataques de ransomware (via file_event)

Esta regla se traduce en los siguientes formatos SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Comando y Control y la técnica de Transferencia de Herramientas de Ingreso (T1105).

Como sabes, los adversarios no se detienen después de haber desarrollado una determinada pieza de malware e incluso cuando la están vendiendo con éxito en un mercado de la web oscura. En su lugar, siguen renovando y puliendo sus creaciones sobre la marcha. Para evitar la situación en la que te pierdas las últimas actualizaciones de Borat RAT, consulta la lista de todas las detecciones disponibles para este ciberataque hasta la fecha. Puedes refinar tus criterios de búsqueda para cumplir con las necesidades específicas en la sección de Búsqueda Avanzada.

Además, si eres un cazador de amenazas o un ingeniero de detección, hay una oportunidad de obtener reconocimiento y beneficios monetarios inscribiéndote en nuestra iniciativa de crowdsourcing. Crea tus propias detecciones personalizadas, envíalas a la plataforma y ayuda a aumentar la resiliencia cibernética global.

Ver detecciones Únete a Threat Bounty

Análisis de Borat RAT

Como mencionamos anteriormente, hay una multitud de características de Borat que los investigadores dividieron en algunas categorías principales:

  • hVNC remoto escritorio y navegadores ocultos
  • Diversión Remota monitor encendido/apagado, mostrar/ocultar barra de tareas, reloj, bandeja, ratón, etc., activar/desactivar el Administrador de Tareas, desactivar UAC, y más
  • Sistema Remoto shell remoto, proxy inverso, editor de registro, gestor de archivos, conexión TCP, y más
  • Características del Stub cambio de nombre del cliente, desactivar defensor, cambiar nombre de registro, anti-matar, habilitar registrador de teclas, y más
  • Recuperación de Contraseñas Chrome y Edge
  • RAT + HVNC características de HVNC más descarga remota y ejecución

Para facilitar la navegación a través de esa amplia funcionalidad, los atacantes han creado un panel especial donde un usuario malicioso puede elegir sus objetivos actuales y, si es necesario, compilar un binario para DDoS y ransomware.

Borat RAT es un malware potencialmente muy peligroso porque es una mezcla única de RAT, ransomware, una herramienta de DDoS y un spyware todo en uno. Al instalar solo un troyano, los adversarios pueden lanzar toda una gama de ataques. Pueden elegir si quieren secuestrar los controles del dispositivo, robar información, alterar la configuración del sistema o eliminar archivos. La plataforma Detection as Code de SOC Prime ofrece un enfoque de ciberdefensa colaborativa, uniendo a los especialistas en ciberseguridad más destacados del mundo para crear y compartir elementos de detección oportunos, para que las organizaciones siempre puedan estar un par de pasos adelante ante las amenazas emergentes.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

CVE-2025-55752 y CVE-2025-55754: Vulnerabilidades de Apache Tomcat Exponen Servidores a Ataques RCE 4 min de lectura Últimas Amenazas CVE-2025-55752 y CVE-2025-55754: Vulnerabilidades de Apache Tomcat Exponen Servidores a Ataques RCE by Daryna Olyniychuk Explotación de CVE-2025-61932: Una nueva vulnerabilidad crítica de Motex LANSCOPE Endpoint Manager utilizada en ataques reales 3 min de lectura Últimas Amenazas Explotación de CVE-2025-61932: Una nueva vulnerabilidad crítica de Motex LANSCOPE Endpoint Manager utilizada en ataques reales by Daryna Olyniychuk Vulnerabilidad CVE-2025-12036: Una Nueva Falla Crítica del Motor JavaScript V8 de Chrome Permite a los Atacantes Ejecutar Código Remoto en Sistemas Vulnerables 4 min de lectura Últimas Amenazas Vulnerabilidad CVE-2025-12036: Una Nueva Falla Crítica del Motor JavaScript V8 de Chrome Permite a los Atacantes Ejecutar Código Remoto en Sistemas Vulnerables by Veronika Telychko
Todas las noticias