T-RAT 2.0: un malware controllato tramite Telegram

Scoperto da un ricercatore (trovato e segnalato da 3xp0rtblog) su alcuni siti russi ), il malware T-RAT 2.0, risulta pubblicizzato come un prodotto evoluto per il controllo remoto ed acquistabile ad una modica cifra di €45,00, pronto già all’uso.

Il RAT (Remote Access Trojan) è un malware che consente di avere il totale controllo del sistema vittima, fornendo una serie di strumenti al suo interno. Nella maggior parte dei casi un RAT viene installato allo scopo di spiare l’ignaro utente attivando webcam, microfono o sequenze di tasti, rubare informazioni riservate o utilizzare come zombie il sistema infetto.

T-RAT 2.0, è un nuovo trojan di accesso remoto che consente ad un attaccante il controllo dei sistemi compromessi attraverso i canali di Telegram permettendone l’accesso indipendentemente dalla loro posizione.

Trovato con tanto di banner pubblicitario, il testo in russo mette in evidenza le peculiarità e i vantaggi: controllo semplice, buon prezzo, anonimato, affidabilità e addirittura garantendo aggiornamenti e miglioramenti.

Vediamo in dettaglio come funzione T-RAT 2.0 attraverso un’analisi, partendo dalla modalità con cui infetta il sistema e come si garantisce la resilienza.

T-RAT 2.0: downloader del payload

Il malware scarica il payload crittografato, ossia la parte contenente il codice malevolo, da un sito web (hxxps: //hgfhhdsf.000webhostapp.com/1DJjnw (punto) jpg) e lo salva sulla directory temp di Windows con estensione .jpg, cioè come immagine (% TEMP% / gfdggfd.jpg). Decrittografato il file ne viene fuori un .zip, un file compresso che contiene l’eseguibile T-RAT, con il nome sihost.exe, oltre alle librerie necessarie al RAT per il controllo remoto.

Il file sihost.exe garantisce la sua persistenza all’interno del sistema infettato pianificando un’attività quotidiana. Il nome dell’attività è l’ID del processore del sistema. Se l’utente corrente dispone dei diritti di amministratore, imposterà il livello di esecuzione su più alto. Successivamente il file che ha effettuato il download si cancella da solo con l’aiuto di un file Batch.

Il RAT è stato scritto in C#, ed utilizza per il collegamento a Telegram la libreria Telegram.Bot.dll, che gli permette di collegarsi al sistema vittima tramite Telegram.

Telegram.Bot è un vero e proprio cliente Telegram .NET, l’API è un interfaccia basata su HTTP, la cui funzione è quella di collegarsi a Telegram in modalità criptata, permettendo la comunicazione con il target senza dover prima configurare il port forwarding.

Panoramica delle funzionalità

I comandi vengono inoltrati utilizzando testo e pulsanti di comando forniti dal RAT. 

T-RAT ha 98 comandi che permettono di eseguire:

• Menu navigation, comandi per entrare ed uscire da determinati moduli.
• File manager, un vero è proprio file manager che permette anche l’invio di file all’attaccante.
• Stealer, questo modulo consente di ottenere password, dati di compilazione automatica del browser ecc., inoltrandoli sotto forma di file compressi.
• Clipper, controlla negli appunti, permette di salvare i dati di eventuali portafogli digitali.
• Monitoring and spying, esegue funzionalità di keylogger e spia tramite l’attivazione di webcam e microfono, inoltrando il contenuto.
• Evasion, metodi per bypassare l’UAC e disabilitare varie impostazioni di sicurezza presenti su Windows quali Windows Defender e Smart Screen.
• Disruption, questo comando permette di chiudere i processi, bloccare siti web e consentire all’attaccante di dirottare le transazioni di soluzioni di pagamento come Qiwi, WMR, WMZ, WME, WMX, Yandex, Payeer, CC, BTC, BTCG, Ripple, Dogecoin e Tron, disabilitare la barra delle applicazioni ed il task manager.
• Remote control, fornisce funzionalità di terminale PowerShell o CMD tramite Telegram.

Come evitare il malware T-RAT 2.0

T-RAT è un trojan malware, contenuto quindi all’interno di altri software apparentemente innocuo, motivo per cui la prima cosa da fare è non scaricare file da fonti non attendibili, e-mail con allegati provenienti da indirizzi sconosciuti e mantenere sempre un antivirus aggiornato.

Per chi volesse far pratica e testare come lavora un RAT-Telegram, è possibile scaricare da GitHub una versione sviluppata in Python RATAttack, completa di Keylogger, map location, file manager e tante altre interessanti funzioni. Il progetto è stato archiviato, ma presenta un ottimo strumento didattico.