RAT Remote Access Trojan

RAT traduzido para o português, rato, é uma expressão que pode ser usada para definir um malware, que pode trazer muitos riscos para a vítima.

Esse malware tem características muito semelhantes com um rato convencional, pois pode se esconder sem ser percebido pelo antivírus ou pela vítima, podendo se tornar ativo apenas em horários estratégicos.

O que é o RAT?

RAT é a abreviação de “Remote Access Trojan”, em português, cavalo de tróia de acesso remoto.

Assim como o próprio nome diz, esse malware pode ter acesso parcial ou total do computador da vítima. Mesmo quando possuindo acesso parcial ao computador da vítima, é questão de tempo para o agressor obter o controle total do computador, pois cujo agressor pode baixar arquivos sem a vítima perceber através da porta dos fundos (backdoor).

Uma vez que o agressor tem acesso remoto ao computador da vítima, esse agressor tem múltiplas opções de ataques:

• Fotos da tela do computador da vítima
• Manipulação de arquivos (Execução, download, upload)
• Acesso ao command prompt ou terminal do computador da vítima
• Manipulação do computador (Desligar e ligar o computador)
• Possibilidade de acesso aos dados pessoais da vítima
• Destruição do disco rígido (Overlock)

Esse agressor já pode ter um aplicativo malware especialmente desenvolvido para esse tipo de prática instalado na máquina dele, conseguindo realizar os ataques apenas com alguns cliques.

Numa rede local de computadores de uma empresa, isso pode se tornar uma grande dor de cabeça, pois uma vez que o computador infectado está conectado à essa rede local, o agressor pode proliferar esse malware infectando os outros computadores conectados.

Hoje em dia, existem aplicativos de acesso remoto disponíveis ao usuário ordinário, e só funcionam com a autorização ou configuração desse usuário. Esse tipo de acesso remoto é considerado legal e já é praticado por muitas pessoas. Porém, o RAT obtêm o acesso ao computador da vítima de forma ilegal, acessando o computador da vítima sem nenhuma permissão.

Como o computador da vítima é infectado?

Assim como o ransomware e spyware, o RAT é um cavalo de tróia. Sua forma de infecção pode acontecer das seguintes maneiras:

• Baixando um arquivo que aparenta ser legítimo, mas possui cavalo de tróia
• Baixando arquivos contaminados pelo torrent
• Clicando em um link suspeito de algum e-mail ou spam
• Clicando em propagandas enganosas que forçam o download de arquivos maliciosos

Pelo fato de possuir acesso remoto ao computador da vítima, o agressor tem habilidade de baixar outros tipos de vírus nesse computador.

Como detectar e remover o RAT?

O RAT pode ser muito difícil de ser detectado, passando despercebido algumas vezes pelo antivírus. Nesse caso, a suspeita de um RAT só é percebida quando o computador da vítima começa a ter fenômenos estranhos, como:

• Mouse se mexendo sozinho
• Computador ligando e desligando sozinho
• Atividades ou históricos de atividades sem conhecimento do usuário
• Computador se esforçando demais(overlock)

Uma vez que algum computador em uma rede local é infectado, é recomendável a desconexão desse computador da rede local e da rede externa o mais rápido possível.

Para detectar o RAT, monitorar as atividades de cada computador na rede local é muito importante, sem se esquecer de monitorar o que vem de fora(rede externa).

Uma vez que o RAT é detectado, este mesmo pode ser removido normalmente. Porém, é indispensável analisar os rastros desse malware para ter certeza que nem um outro malware foi instalado sem a permissão do usuário. Para ter certeza, formatar o computador também é uma boa opção.

Conclusão

O RAT é um malware que tipicamente infecta o computador da vítima por um cavalo de tróia. O agressor tem acesso remoto ao controle da vítima, podendo tirar fotos da tela do computador, ou até baixar outros malwares no computador da vítima.

Uma vez detectado, não é muito difícil sua remoção. Porém, todo cuidado é pouco.