Por Arie Fred, VP de Produto, SecBI
O Trojan de Acesso Remoto (RAT) pode quase ser considerado a ferramenta “legada” dos hackers. O RAT é um programa malware que utiliza uma porta traseira para controlo administrativo sobre o computador visado. Como tal, os RATs são utilizados para operações “baixas e lentas”, prolongadas e furtivas, tais como APTs. Usando esta técnica maliciosa, os atacantes levam o seu tempo a explorar as redes e os bens da vítima, e depois deslocam-se o mais silenciosamente possível para alcançar os seus objectivos sem serem detectados. Alguns APTs estão em funcionamento há anos e os RATs desempenham um papel crucial em permitir que os atacantes acedam aos alvos, evitando ao mesmo tempo a detecção.
Embora os RATs já existam há bastante tempo, não aumentaram na sua “popularidade” entre os malwares, pois foram considerados complicados de desenvolver e operar, exigindo um elevado conjunto de habilidades de hacker. Mas esta tendência parece ter mudado no último ano. Durante os últimos 18 meses mais ou menos, os RAT tornaram-se mais facilmente disponíveis e acessíveis, levando a um aumento do número de vítimas de RAT, que não estão equipadas para detectar e mitigar esta ameaça de malware.
RATs são agora baratos e comercialmente disponíveis
Dois factores principais que contribuem para o uso generalizado dos RATs são a sua disponibilidade e acessibilidade económica. Por exemplo, uma ferramenta chamada “Imminent Monitor” Remote Access Trojan (IM-RAT). O IM-RAT proporcionou aos cibercriminosos acesso livre às máquinas das vítimas. Foi suficientemente inteligente para contornar software de detecção de anti-vírus e malware, executar comandos tais como gravação de teclas, roubar dados e palavras-passe, e observar as vítimas através das suas webcams. Tudo isso podia ser feito sem o conhecimento da vítima.
Todas estas funcionalidades – de alcance, comprovadas em campo e fáceis de usar – foram vendidas a um preço tão baixo como $25 por peça. Felizmente, a Polícia Federal Australiana (AFP), com actividade internacional coordenada pela Europol e Eurojust, conseguiu derrubar a infra-estrutura da RAT e prender alguns dos utilizadores mais prolíficos deste Trojan de Acesso Remoto (RAT). O criador e um funcionário da IM-RAT foram detidos na Austrália e Bélgica em Junho de 2019, e a ferramenta, que foi utilizada em 124 países e vendida a mais de 14.500 compradores, já não está disponível.
No Canadá, descobriu-se que uma ferramenta de acesso remoto para uso administrativo era, de facto, um RAT. O seu’ desenvolvedor e gerente de desenvolvimento comercial, que trabalhava a partir de Toronto sob a entidade legal “Orcus Technologies” foram presos. As agências de aplicação da lei declararam que a dupla vendeu e ajudou os actores maliciosos a instalar o Orcus RAT nos computadores de outras pessoas, e também geriu um serviço Dynamic Domain Name Server (DDNS) que ajudou o malware a comunicar com os anfitriões infectados sem revelar o verdadeiro endereço IP do hacker.
Métodos de infecção inovadores
Após os cibercriminosos deitarem as mãos ao RAT, eles empregam formas muito criativas de incorporar o malware nos sistemas das vítimas. Embora, o método de infecção de topo ainda seja através de um documento armado recebido por e-mail, outros métodos estão infelizmente a ganhar popularidade, tais como:
- Mascarado como o jogo Tetris, um grupo de hacking usou uma versão de código aberto do jogo Tetris dos anos 90 para esconder PyXie RAT e infectar organizações.
- Via Facebook, um RAT chamado FlawedAmmy infectou alvos militares. Os investigadores descobriram que uma página falsa do Facebook, fazendo-se passar por oficial militar americano-libiano chamado Khalifa Haftar, se concentrava em conteúdos relacionados com a política e o exército, também anexou URLs para descarregar ficheiros declarando serem fugas de informação das unidades de inteligência da Líbia. Isto não é tudo, alguns URLs foram apresentados como sites legítimos para os cidadãos se inscreverem no exército.
- O uso de um falso convite de reunião WebEx.
RATs são utilizados para uma multiplicidade de usos nefastos
Após instalação, os hackers têm controlo remoto completo sobre o sistema da vítima, que podem abusar de muitas maneiras. Alguns utilizam-no para recolher informações sobre alvos militares e diplomáticos, outros para obter os dados pessoais e detalhes de pagamento dos hóspedes do hotel, e outros hackers assumem o controlo para satisfazer os seus desejos sexuais através do voyeurismo, como o homem britânico recentemente preso por usar a RAT para espiar as suas vítimas usando a webcam.
Conclusão
Então os RAT são capazes, disponíveis e excessivamente acessíveis para facilmente piratear as redes. Isto cria um desafio para as organizações que precisam de se proteger contra esta ameaça. Infelizmente, a maioria dos mecanismos de prevenção existentes não será capaz de identificar o RAT e prevenir a infecção porque o RAT sabe como se manter sob o seu radar. Da mesma forma, a maioria dos mecanismos de segurança de pontos finais e solução de rede/ perímetro não serão de grande ajuda na identificação da RATS.
A tecnologia de aprendizagem de máquinas do SecBI baseada no seu algoritmo de análise de cluster tem e continuará a identificar os padrões de actividade da RAT e a alertar os analistas relativamente aos seus métodos de funcionamento “baixo e lento”. Concorda que está na altura de actualizar a sua defesa cibernética para detectar e remediar rapidamente os malwares “baixos e lentos”?