1. RAT працює через ботів в Telegram
2. Інтерфейс RAT в Telegram
3. Містичний «відмова від відповідальності» буде тримати поганих хлопців подалі

Нещодавно був створений Remote Access Trojan (RAT), який використовує протокол Telegram для крадіжки даних користувача через заражене пристрій. RAT написаний в Python і в даний момент знаходиться у вільному доступі для скачування на порталах обміну кодами (Github).

Творець RAT, стверджує, що метою створення RAT була виключно оптимізація і поліпшення виконуваної роботи для RAT. Автор підкреслює, що головна проблема з більшою частиною RAT в тому, що вони не використовують шифрування і запитують включення переадресації порту на пристрої жертви для контролю заражених хостів. Розробник пропонує його власний інструмент, під назвою RATAtack, який використовує протокол Telegram для підтримки зашифрованого каналу жертви і створив канал, і не вимагає переадресації портів, так як протокол Telegram передбачає простий метод зв'язку з метою без попередньої настройки порту.

RAT працює через ботів в Telegram

Перед появою RATatack, користувач RAT повинен створити бота в Telegram, взяти маркер цього бота і помістити його в конфігураційний файл RAT. Після зараження жертви RATAttack, все хости з'єднуються з каналом бота. Власник RATAttack може підключитися до того ж каналу і користуватися простими інструкціями для управління клієнтами RATatack в заражених хостах. Відповідно до нинішньою версією RATAttack, підтримуються наступні команди:

/ Pc_info - Отримання інформації про ПК

/ Msg_box - Виводить віконце з текстом

/ Snapshot - Робить знімок з вебкамери

/ Ip_info - Виводить IP

/ Download_file - Викачує файл

/ List_dir - Список файлів в цій папці

/ Run_file - Виконує файл

/ Capture_pc - Скрін робочого столу

/ Keylogs - кейлогерам

/ Self_destruct - Знищує сам себе

Інтерфейс RAT в Telegram

Нижче вказані деякі функції RATAttack, а також знаходяться в доопрацюванні:

• Запуск кейлоггера на ПК мети;
• Отримання інформації про ПК мети, а саме: версії Windows, процесорі, і т.д .;
• Отримання інформації про IP адресу цілі і її приблизне розташування на карті;
• Показати вікно повідомлень з призначеним для користувача текстом в комп'ютері цілі;
• Список всіх каталогів в комп'ютері цілі;
• Локальна завантаження будь-якого файлу з комп'ютера цілі в фоновому режимі;
• Завантаження локальних файлів на комп'ютер мети. Надсилання зображень, документів pdf, exe, і будь-якого іншого файлу боту Telegram;
• Скріншоти комп'ютера мети;
• Виконання будь-якого файлу на комп'ютері мети.

Функції в розробці:

• Самознищення RAT на комп'ютері мети;
• Знімки з вебкамери (якщо є);
• Видалення файлів на комп'ютері цілі

RATAttack написаний на Python 2.7, але автор обіцяв версію для Python 3.X.

Містичний «відмова від відповідальності» буде тримати поганих хлопців подалі

Як і більшість «темних» розробників, які створюють RAT з подвійним призначенням, розробник назвав своє творіння Remote Administration Tool (Інструмент віддаленого адміністрування). Навіть якщо частина функцій, над якими він в даний момент працює, зазвичай виявляється у шкідливих троянах. Вони не є легальними інструментами віддаленого адміністрування, такими як Teamviewer і інші.

Розробник також не забув виконати старий номер, і обов'язковий «відмова від відповідальності» в кінці опису RATAttack, сподіваючись уникнути наслідків, до яких приведуть зловмисники, використовуючи його код, який знаходиться у вільному доступі для стеження за подружжям, злому компаній, або тримати дисидентів під наглядом. Імовірно, цей інструмент повинен використовуватися тільки в авторизованих системах. Будь-яке неавторизоване використання даного інструменту без дозволу є нелегальним. Питання ПО з подвійним призначенням, використовуваним для легальних і злочинних цілей, недавно обговорювалося в новинах.

Ми зібрали ТОП Книг для Python програміста які допоможуть швидко вивчити мову програмування Python. Список книг: Книги по Python

Точка зору на підтримку розробників RAT виражена в статті під назвою « ФБР заарештувало хакера, який нікого не хакнул », Поки журналіст Infosec Брайан Кребс висунув контраргумент у вигляді статті, під назвою« Кримінал і ПО з подвійним призначенням - це не так вже й ново ». Обидві статті рекомендуються до прочитання, для розуміння того, чому не варто обманювати влади і органи правопорядку зокрема, називаючи свій софт Інструментом віддаленого адміністрування, який містить явні функції шкідливого ПЗ. Автор коду поділився своєю розробкою на GitHub, так що, грунтуючись на сумному досвіді, питання часу, коли ми побачимо його в руках справжніх компаніях шкідливого ПЗ.

Оновлення (April 19 2017, 3:55): Ritiek Malhotra ( @Ritiek ) Удалил свій репозиторій на Github. На гітхабе вже встигли зробити Форк. Користувач @mvrozanti навіть почав розширення функціоналу.