Detectar el Malware de Acceso Remoto Borat

[post-views]
abril 08, 2022 · 3 min de lectura
Detectar el Malware de Acceso Remoto Borat

Una nueva herramienta de acceso remoto complicada llamada Borat RAT fue encontrada por investigadores de ciberseguridad. Tal como sugiere el nombre, es una mezcla loca de cosas que es difícil de entender. Borat Trojan es una colección de módulos de malware que viene con un generador y un certificado de servidor que incluye más de 10 funciones maliciosas.

Si Borat entra en el sistema, es capaz de tomar el control del ratón y teclado, archivos y recursos de red, capaz de grabación de video y audio, robo de credenciales, DDoS, ransomware, keylogging y mucho más. Para colmo, Borat RAT ofusca datos para hacer su presencia imperceptible. Aprenda más sobre las soluciones que proponemos para detectar el malware mencionado anteriormente.

DetecciĂłn de malware de acceso remoto Borat

Puede detectar generadores de Borat (RAT) implementando la regla más reciente creada por nuestro desarrollador de Threat Bounty Furkan Celik.

DetecciĂłn del Trojan de acceso remoto Borat que habilita ataques de ransomware (via file_event)

Esta regla se traduce en los siguientes formatos SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Comando y Control y la técnica de Transferencia de Herramientas de Ingreso (T1105).

Como sabes, los adversarios no se detienen después de haber desarrollado una determinada pieza de malware e incluso cuando la están vendiendo con éxito en un mercado de la web oscura. En su lugar, siguen renovando y puliendo sus creaciones sobre la marcha. Para evitar la situación en la que te pierdas las últimas actualizaciones de Borat RAT, consulta la lista de todas las detecciones disponibles para este ciberataque hasta la fecha. Puedes refinar tus criterios de búsqueda para cumplir con las necesidades específicas en la sección de Búsqueda Avanzada.

Además, si eres un cazador de amenazas o un ingeniero de detección, hay una oportunidad de obtener reconocimiento y beneficios monetarios inscribiéndote en nuestra iniciativa de crowdsourcing. Crea tus propias detecciones personalizadas, envíalas a la plataforma y ayuda a aumentar la resiliencia cibernética global.

Ver detecciones Ăšnete a Threat Bounty

Análisis de Borat RAT

Como mencionamos anteriormente, hay una multitud de caracterĂ­sticas de Borat que los investigadores dividieron en algunas categorĂ­as principales:

  • hVNC remoto — escritorio y navegadores ocultos
  • DiversiĂłn Remota — monitor encendido/apagado, mostrar/ocultar barra de tareas, reloj, bandeja, ratĂłn, etc., activar/desactivar el Administrador de Tareas, desactivar UAC, y más
  • Sistema Remoto — shell remoto, proxy inverso, editor de registro, gestor de archivos, conexiĂłn TCP, y más
  • CaracterĂ­sticas del Stub — cambio de nombre del cliente, desactivar defensor, cambiar nombre de registro, anti-matar, habilitar registrador de teclas, y más
  • RecuperaciĂłn de Contraseñas — Chrome y Edge
  • RAT + HVNC — caracterĂ­sticas de HVNC más descarga remota y ejecuciĂłn

Para facilitar la navegación a través de esa amplia funcionalidad, los atacantes han creado un panel especial donde un usuario malicioso puede elegir sus objetivos actuales y, si es necesario, compilar un binario para DDoS y ransomware.

Borat RAT es un malware potencialmente muy peligroso porque es una mezcla única de RAT, ransomware, una herramienta de DDoS y un spyware todo en uno. Al instalar solo un troyano, los adversarios pueden lanzar toda una gama de ataques. Pueden elegir si quieren secuestrar los controles del dispositivo, robar información, alterar la configuración del sistema o eliminar archivos. La plataforma Detection as Code de SOC Prime ofrece un enfoque de ciberdefensa colaborativa, uniendo a los especialistas en ciberseguridad más destacados del mundo para crear y compartir elementos de detección oportunos, para que las organizaciones siempre puedan estar un par de pasos adelante ante las amenazas emergentes.

Tabla de Contenidos

ÂżFue Ăştil este artĂ­culo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Ăšnase Gratis Reserve una ReuniĂłn

Publicaciones relacionadas

La GeneraciĂłn de DetecciĂłn bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Blog, Plataforma SOC Prime — 2 min de lectura
La GeneraciĂłn de DetecciĂłn bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Steven Edwards
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Ăšltimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
DetecciĂłn de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Blog, Ăšltimas Amenazas — 5 min de lectura
DetecciĂłn de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Veronika Telychko