T-RAT es un malware de hackers rusos distribuido por 45$, que permite controlar los dispositivos infectados a través de un canal de Telegram.

Los especialistas de G DATA han publicado un informe sobre el nuevo malware T-RAT que se distribuye por solo $ 45. La principal característica del malware es que T-RAT permite controlar los sistemas infectados a través de un canal de Telegram. Por la regla general utilizan una web con panel de administración.

Captura de pantalla de las funciones del malware T-RAT
Descripción de T-RAT en su página de compra

Los creadores de malware afirman que esto proporciona un acceso más rápido y sencillo a los dispositivos infectadas desde cualquier lugar. Sin embargo, les permite robar datos rápidamente. T-RAT también se puede controlar mediante métodos más tradicionales, a través de RDP y VNC.

El canal T-RAT en Telegram admite 98 comandos que le permiten recuperar contraseñas y cookies del navegador, navegar por el sistema de archivos de la víctima y buscar datos confidenciales, implementar un registrador de teclas, grabar el sonido en secreto a través del micrófono del dispositivo, tomar capturas de pantalla del escritorio de la víctima, tomar instantáneas a través de la cámara web y capturar el contenido del portapapeles.

Malware de pago como obra de arte

Además, los propietarios de T-RAT pueden usar un mecanismo especial para capturar datos del portapapeles. Reemplaza cadenas similares a direcciones de criptomonedas y billeteras electrónicas con las direcciones de los atacantes. Esto le permite interceptar con éxito transacciones de WebMoney Payeer, BTC, BTCG, Ripple, Dogecoin y otros.

El malware también puede funcionar con comandos de terminal (CMD y PowerShell). Bloquear el acceso de la víctima a ciertos sitios, por ejemplo, webs de soporte técnico y antivirus. Por otra parte, permite eliminar procesos específicos, deshabilitar el software de seguridad y depuración, e incluso desactivar la barra de tareas y el administrador de tareas.

Los expertos de G DATA escriben que T-RAT es solo una de las muchas familias de malware que están equipadas con la capacidad de control a través de Telegram. Esta no es la primera RAT que opera en un modelo de este tipo. Entonces, una funcionalidad similar la poseen: RATAttack (dirigido a Windows), HeroRAT (dirigido a Android), TeleRAT (utilizado principalmente contra usuarios de Irán, dirigido a Android), IRRAT (dirigido a Android), RAT-via-Telegram (disponible en GitHub, dirigido a usuarios de Windows) y Telegram-RAT (disponible en GitHub, dirigido a usuarios de Windows).

“Las nuevas muestras de T-RAT se cargan periódicamente en VirusTotal. Supongo que se está extendiendo activamente, aunque no tengo pruebas directas de ello”, dice el experto de la compañía Karsten Hahn.