Detectar el Malware de Acceso Remoto Borat

[post-views]
abril 08, 2022 · 3 min de lectura
Detectar el Malware de Acceso Remoto Borat

Una nueva herramienta de acceso remoto complicada llamada Borat RAT fue encontrada por investigadores de ciberseguridad. Tal como sugiere el nombre, es una mezcla loca de cosas que es difícil de entender. Borat Trojan es una colección de módulos de malware que viene con un generador y un certificado de servidor que incluye más de 10 funciones maliciosas.

Si Borat entra en el sistema, es capaz de tomar el control del ratón y teclado, archivos y recursos de red, capaz de grabación de video y audio, robo de credenciales, DDoS, ransomware, keylogging y mucho más. Para colmo, Borat RAT ofusca datos para hacer su presencia imperceptible. Aprenda más sobre las soluciones que proponemos para detectar el malware mencionado anteriormente.

Detección de malware de acceso remoto Borat

Puede detectar generadores de Borat (RAT) implementando la regla más reciente creada por nuestro desarrollador de Threat Bounty Furkan Celik.

Detección del Trojan de acceso remoto Borat que habilita ataques de ransomware (via file_event)

Esta regla se traduce en los siguientes formatos SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Comando y Control y la técnica de Transferencia de Herramientas de Ingreso (T1105).

Como sabes, los adversarios no se detienen después de haber desarrollado una determinada pieza de malware e incluso cuando la están vendiendo con éxito en un mercado de la web oscura. En su lugar, siguen renovando y puliendo sus creaciones sobre la marcha. Para evitar la situación en la que te pierdas las últimas actualizaciones de Borat RAT, consulta la lista de todas las detecciones disponibles para este ciberataque hasta la fecha. Puedes refinar tus criterios de búsqueda para cumplir con las necesidades específicas en la sección de Búsqueda Avanzada.

Además, si eres un cazador de amenazas o un ingeniero de detección, hay una oportunidad de obtener reconocimiento y beneficios monetarios inscribiéndote en nuestra iniciativa de crowdsourcing. Crea tus propias detecciones personalizadas, envíalas a la plataforma y ayuda a aumentar la resiliencia cibernética global.

Ver detecciones Únete a Threat Bounty

Análisis de Borat RAT

Como mencionamos anteriormente, hay una multitud de características de Borat que los investigadores dividieron en algunas categorías principales:

  • hVNC remoto escritorio y navegadores ocultos
  • Diversión Remota monitor encendido/apagado, mostrar/ocultar barra de tareas, reloj, bandeja, ratón, etc., activar/desactivar el Administrador de Tareas, desactivar UAC, y más
  • Sistema Remoto shell remoto, proxy inverso, editor de registro, gestor de archivos, conexión TCP, y más
  • Características del Stub cambio de nombre del cliente, desactivar defensor, cambiar nombre de registro, anti-matar, habilitar registrador de teclas, y más
  • Recuperación de Contraseñas Chrome y Edge
  • RAT + HVNC características de HVNC más descarga remota y ejecución

Para facilitar la navegación a través de esa amplia funcionalidad, los atacantes han creado un panel especial donde un usuario malicioso puede elegir sus objetivos actuales y, si es necesario, compilar un binario para DDoS y ransomware.

Borat RAT es un malware potencialmente muy peligroso porque es una mezcla única de RAT, ransomware, una herramienta de DDoS y un spyware todo en uno. Al instalar solo un troyano, los adversarios pueden lanzar toda una gama de ataques. Pueden elegir si quieren secuestrar los controles del dispositivo, robar información, alterar la configuración del sistema o eliminar archivos. La plataforma Detection as Code de SOC Prime ofrece un enfoque de ciberdefensa colaborativa, uniendo a los especialistas en ciberseguridad más destacados del mundo para crear y compartir elementos de detección oportunos, para que las organizaciones siempre puedan estar un par de pasos adelante ante las amenazas emergentes.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Vulnerabilidad CVE-2025-61882: Un Grave Día Cero de Oracle E-Business Suite Explotado en Ataques de Robo de Datos Cl0p 4 min de lectura Últimas Amenazas Vulnerabilidad CVE-2025-61882: Un Grave Día Cero de Oracle E-Business Suite Explotado en Ataques de Robo de Datos Cl0p by Daryna Olyniychuk Vulnerabilidade CVE-2025-41244: Zero-Day em VMware Tools e Aria explorado para escalonamento de privilégios 4 min de lectura Últimas Amenazas Vulnerabilidade CVE-2025-41244: Zero-Day em VMware Tools e Aria explorado para escalonamento de privilégios by Veronika Telychko CVE-2025-20352: Vulnerabilidad Zero-Day Crítica en Cisco IOS y IOS XE Bajo Explotación Activa 4 min de lectura Últimas Amenazas CVE-2025-20352: Vulnerabilidad Zero-Day Crítica en Cisco IOS y IOS XE Bajo Explotación Activa by Daryna Olyniychuk
Todas las noticias