Новый RAT использует протокол Telegram для кражи данных жертв
В социальной сети для программистов GitHub были выложены исходники троянского коня для удаленного доступа, который использует протокол, введенный мессенджером Telegram, для того, чтобы связываться с контролирующим сервером.
По информации от разработчика, огромная проблема в том, что они не используют криптование и их владельцы настраивают портфорвардинг на инфицированном девайсе для того, чтобы управлять им. Вирмейкер для этого создал утилиту RATAttack, устанавливающая криптованный эфир между владельцем ботнета и взломанным девайсом с помощью MProto.
Перед тем, как стартовать кибератаку, хозяин RATAttack должен создать робота для Telegram и вписать его конфигурационный ключ в конфиг-файл троянского коля. Тем самым он сделает возможным для взломанных девайсов шифрованный канал для того, чтобы получать бот-команды и отсылать украденные данные.
Данное программное обеспечение включает в себя функционал логирования нажатых клавиш, а также собирает все данные об операционной системе и разничную другую техническую информацию, а также делает снимки экрана, может загружать и выполнять файлы на инфицированной системе и самоудаляться.
Троянское программное обеспечение создано на языке Python 2, однако разработчик хочет переписать исходники на Python 3. Сам же программист не называет собственное программное обеспечение троянским конем, а говорит о нем как об утилите для удаленного доступа, несмотря на то, что его продукт имеет ряд вредоносного функционала, которое не используется альтернативными «легальными» Teamviewer и тому подобными.
По информации от Bleeping Computer, девелопер RATAttack не проводил рекламные компании на каких-либо форумах по информационной безопасности, лишь только выложил исходник на GitHub. На текущий момент его стерли из социальной сети.