Che cos'è un trojan di accesso remoto?

RATS o Trojan di accesso remoto hanno fatto molta strada dallo strumento scherzo dei bambini degli anni '90 usato per spaventare i loro amici.

Dalla semplice apertura dei vassoi dei CD e dal controllo dei computer da remoto per spaventare le loro vittime, si è evoluto in uno dei malware più diffusi in circolazione.

Ecco tutto ciò che devi sapere su questo Trojan e cosa puoi fare contro un'infestazione da RAT.

Cos'è un RAT?

Un RAT è un Trojan, un tipo di malware camuffato da qualcos'altro di cui le vittime hanno bisogno, come un file, un programma o un'app legittima. Induce le vittime a scaricarlo e quindi ad attivarlo in modo che possa diffondersi nel sistema.

Un RAT fornisce ai criminali informatici un accesso completo, illimitato e remoto al computer di una vittima. Una volta attivato, può nascondersi all'interno del sistema per molti mesi e rimanere inosservato. Collega il dispositivo della vittima a un server di comando e controllo (C&C) controllato da hacker.

Il C&C funge da host remoto che invia comandi al Trojan nel computer della vittima. Può registrare tutte le tue attività sullo schermo, accedere e rubare PII (informazioni di identificazione personale) come numeri di previdenza sociale, furti informazioni finanziarie come i dettagli della carta di credito, acquisire screenshot dello schermo, dirottare la webcam o il microfono e registrare o raccogliere sequenze di tasti.

Relazionato: Come verificare se la tua webcam è stata hackerata

Oltre a dare a un hacker il controllo amministrativo sul dispositivo di una vittima, può utilizzarlo per diffondere malware ad altri computer. Questo brutto Trojan può fare tutto questo senza che la vittima lo sappia.

Dagli scherzi per divertimento alla criminalità informatica per soldi

I RAT esistono da decenni. I primi strumenti legittimi di accesso remoto sono stati creati alla fine degli anni '80 per la gestione remota delle macchine. Poco dopo, ragazzini maliziosi, anche se ancora innocenti, esperti di tecnologia lo usarono per scherzare con gli amici. Dalla metà alla fine degli anni '90, i malintenzionati hanno scoperto la tecnologia e hanno iniziato a usarla per causare danni.

Nel 1998, un programmatore di computer svedese ha sviluppato uno strumento di accesso remoto chiamato NetBus. Ha affermato che questo è stato creato principalmente solo per fare scherzi.

È diventato famoso un anno dopo il suo sviluppo quando gli aggressori hanno scaricato NetBus e lo hanno utilizzato per piantare 12.000 immagini pornografiche, inclusi più di 3.000 materiali pedopornografici, su un professore di diritto computer.

Gli amministratori di sistema scoprirono presto il materiale, quindi il professore perse il lavoro e dovette lasciare il paese. È stato solo nel 2004 quando è stato esonerato dopo aver dimostrato che gli hacker hanno scaricato i materiali sul suo computer utilizzando NetBus.

La controversia su NetBus ha aperto la strada allo sviluppo di trojan di accesso remoto più sinistri, come i famigerati SubSeven e Back Orifice. Negli anni 2000, il panorama dei RAT è esploso con ceppi che hanno acquisito sempre più caratteristiche lungo la strada.

Alcuni sviluppatori RAT nei primi anni 2000 hanno escogitato un modo per aggirare firewall e AV, rubare informazioni e aggiungere altri attacchi nel loro arsenale. Subito dopo, i RAT sono stati utilizzati dai criminali informatici sponsorizzati dallo stato per attaccare le organizzazioni governative.

In questi giorni, i RAT sono disponibili in tutti i tipi di ceppi e versioni. Alcuni, come il nuovo ElectroRAT basato su Golang, possono indirizzare Windows, macOS e Linux. È progettato per indirizzare e drenare i portafogli di criptovaluta.

Relazionato: Malware ElectroRAT che mira ai portafogli di criptovaluta su Windows 10

Secondo quanto riferito, alcuni sviluppatori di malware stanno persino tentando di raggruppare i RAT con il ransomware che può essere avviato dopo aver ottenuto l'accesso amministrativo al computer. Possono causare molti danni e ciò che è ancora più allarmante è che sono prontamente disponibili e vengono venduti a buon mercato. Secondo ricerca, RATS sono venduti in media per un minimo di $ 9,47 nel mercato del dark web.

In che modo le persone vengono infettate da un ratto?

RAT salvadanaio su allegati e-mail dall'aspetto legittimo, pacchetti di download, plug-in o file torrent. Usano l'ingegneria sociale per indurre le vittime a fare clic su un collegamento o a scaricare un file che avvia l'infezione.

I RAT spesso si mascherano anche come app o programmi legittimi, spesso popolari, pubblicati su forum o siti di terze parti.

Se inviato come allegato a un file e-mail di phishing, possono imitare ordini di acquisto e fatture o qualsiasi documento che richiederebbe la verifica. Una volta che la vittima fa clic sul file MS-word-looking, il RAT si fa strada nel dispositivo della vittima e si seppellisce nel sistema spesso senza lasciare traccia.

Diffida dei siti che affermano di offrire app e programmi popolari a prezzi più convenienti o gratuitamente. Assicurati di avere un AV aggiornato nel tuo computer, installa subito le patch del sistema operativo ed evita di scaricare file allegati soprattutto da persone di cui non ti fidi. Se un amico ti invia un allegato, chiama per verificare il contenuto del file prima di aprirlo.

Come fai a sapere se hai un ratto?

Europol ha alcune linee guida per aiutare le persone a individuare la presenza di un RAT nel proprio computer. Fai attenzione ai processi sconosciuti in esecuzione nel sistema (che sono visibili in Task Manager, scheda Processo), fai attenzione anche ai programmi sconosciuti installati nel dispositivo. Per verificare quest'ultimo, vai alle Impostazioni del tuo dispositivo (tramite l'icona di un ingranaggio), quindi controlla sotto App o App e notifiche.

Puoi anche controllare per vedere le modifiche ai tuoi file, ad esempio se alcuni potrebbero essere stati eliminati o modificati. Un altro segno rivelatore che hai un RAT nel tuo sistema è se hai una connessione Internet insolitamente lenta.

Sebbene alcuni ceppi di RAT siano progettati per essere estremamente difficili da rilevare, quindi se non vedi nessuno di questi segni ma vuoi comunque controllare, puoi eseguire una scansione AV.

Cosa fare se sei stato infettato

Se il tuo computer è stato infettato da un RAT, dovresti presumere che le tue informazioni siano state compromesse.

Dovresti aggiornare i nomi utente e le password dei tuoi account utilizzando un computer pulito o un dispositivo non infetto. Chiama la tua banca per informarla della violazione e controlla i tuoi estratti conto per transazioni sospette.

Puoi anche controllare i tuoi rapporti di credito nel caso in cui sia già stato creato un account a tuo nome.

Per rimuoverlo, puoi seguire questo guida completa alla rimozione di Trojan. In alternativa, puoi passare attraverso il nostro Guida completa alla rimozione del malware.

RAT: furtivi e pericolosi

I trojan di accesso remoto sono furtivi e pericolosi. Possono causare molti danni a individui e organizzazioni.

Sebbene possa essere difficile da rilevare, poiché la maggior parte non lascia traccia, esistono molti siti di scansione e rimozione di virus che possono aiutarti ad affrontare il problema.

I 7 migliori siti di scansione e rimozione di virus online gratuiti

Hai bisogno di verificare la presenza di un virus informatico ma non hai installato un software antivirus? Prova questi eccellenti strumenti di scansione antivirus online.

Circa l'autore