一种名为 Borat 的新型远程访问木马 (RAT) 已出现在暗网市场上，提供易于使用的功能来进行 DDoS 攻击、UAC 绕过和勒索软件部署。

作为 RAT，Borat 使远程威胁参与者能够完全控制受害者的鼠标和键盘，访问文件、网络点，并隐藏他们存在的任何迹象。

该恶意软件允许其操作员选择他们的编译选项来创建小型有效负载，这些有效负载正是他们需要进行高度定制的攻击。
Cyble的研究人员对 Borat 进行了分析，他们在野外发现了它，并对恶意软件进行了采样，以进行一项揭示其功能的技术研究。

Borat 的一些功能 (Cyble)
广泛的功能
目前尚不清楚 Borat RAT 是否在网络犯罪分子之间出售或免费共享，但 Cycle 表示它以包含构建器、恶意软件模块和服务器证书的包的形式出现。

Borat RAT 档案 (Cyble)中的文件
该木马的功能，每个都有自己的专用模块，包括以下内容：

键盘记录 - 监控和记录按键并将它们存储在 txt 文件中
勒索软件——将勒索软件有效载荷部署到受害者的机器上，并通过 Borat 自动生成勒索记录
DDoS – 使用受感染机器的资源将垃圾流量引导到目标服务器
录音- 通过麦克风录制音频（如果有），并将其存储在 wav 文件中
网络摄像头录制- 从网络摄像头录制视频（如果有）
远程桌面- 启动隐藏的远程桌面以执行文件操作、使用输入设备、执行代码、启动应用程序等。
反向代理——设置反向代理以保护远程操作员的身份不被暴露
设备信息——收集基本系统信息
进程空心化——将恶意软件代码注入合法进程以逃避检测
凭据窃取– 窃取存储在基于 Chromium 的 Web 浏览器中的帐户凭据
Discord 令牌窃取– 从受害者那里窃取 Discord 令牌
其他功能——通过播放音频、交换鼠标按钮、隐藏桌面、隐藏任务栏、按住鼠标、关闭显示器、显示空白屏幕或挂起系统来扰乱和迷惑受害者

更多 Borat 的广告功能 (Cyble)
正如 Cyble 的分析所指出的，上述功能使 Borat 本质上是一种 RAT、间谍软件和勒索软件，因此它是一种强大的威胁，可以在设备上进行各种恶意活动。

总而言之，尽管 RAT 的开发人员决定以喜剧电影 Borat 的主角（由 Sacha Baron Cohen 化身）的名字命名，但该恶意软件根本不是开玩笑的。

通过深入挖掘试图找到该恶意软件的来源，Bleeping Computer 发现该有效载荷可执行文件最近被识别为 AsyncRAT，因此它的作者很可能基于他的工作。

通常，威胁参与者通过伪装成游戏和应用程序破解的附加可执行文件或文件分发这些工具，因此请注意不要从不可靠的来源（如种子或阴暗网站）下载任何内容。