Short bio
Trojans de Acesso Remoto são programas que fornecem a capacidade de permitir a vigilância encoberta ou a capacidade de obter acesso não autorizado a um PC da vítima. Os Trojans de Acesso Remoto imitam frequentemente comportamentos semelhantes de aplicações de keylogger, permitindo a recolha automática de teclas, nomes de utilizador, palavras-passe, capturas de ecrã, histórico do navegador, e-mails, lotes de conversação, etc. Os Trojans de Acesso Remoto diferem dos keyloggers na medida em que fornecem a capacidade de um atacante obter acesso remoto não autorizado à máquina da vítima através de protocolos de comunicação especialmente configurados que são configurados após a infecção inicial do computador da vítima. Esta porta traseira para a máquina da vítima pode permitir a um agressor um acesso sem restrições, incluindo a capacidade de monitorizar o comportamento do utilizador, alterar as definições do computador, navegar e copiar ficheiros, utilizar a largura de banda (ligação à Internet) para possíveis actividades criminosas, aceder a sistemas ligados, e mais.
História
Embora o historial completo dos Trojans de Acesso Remoto seja desconhecido, estas aplicações têm sido utilizadas há vários anos para ajudar os agressores a estabelecer uma base de apoio num PC da vítima. Os Trojans de Acesso Remoto bem conhecidos e há muito estabelecidos incluem as aplicações SubSeven, Back Orifice, e Poison-Ivy. Estes programas datam de meados a finais dos anos 90 e ainda podem ser vistos em uso até hoje.
A utilização bem sucedida de tais aplicações levou à produção de uma série de diferentes aplicações nas décadas seguintes. À medida que as empresas de segurança se tornam conscientes das tácticas que estão a ser utilizadas pelos Trojans de Acesso Remoto, os autores de malware estão continuamente a evoluir os seus produtos para tentar impedir os mais recentes mecanismos de detecção.
Método comum de infecção
Trojans de Acesso Remoto podem ser instalados em vários métodos ou técnicas, e serão semelhantes a outros vectores de infecção por malware. Podem ser utilizados como mecanismo para instalação do software anexos de correio electrónico especialmente criados, ligações web, pacotes de download, ou ficheiros .torrent. Os ataques direccionados por um atacante motivado podem enganar alvos desejados na instalação de tal software através de tácticas de engenharia social, ou mesmo através do acesso físico temporário do computador desejado.
Famílias associadas
Existe um grande número de Trojans de Acesso Remoto. Algumas são mais conhecidas do que outras. SubSeven, Back Orifice, ProRat, Turkojan, e Poison-Ivy são programas estabelecidos. Outros, tais como CyberGate, DarkComet, Optix, Shark, e VorteX Rat têm uma distribuição e utilização menores. Este é apenas um pequeno número de Trojans de Acesso Remoto conhecidos, e uma lista completa seria bastante extensa, e estaria em contínuo crescimento.
Remediação
Trójans de Acesso Remoto são encobertos por natureza e podem utilizar um nome de ficheiro/estrutura de percurso aleatório para tentar impedir a identificação do software. Instalar e executar Malwarebytes Anti-Malware e Malwarebytes Anti-Exploit ajudará a mitigar qualquer potencial infecção, removendo ficheiros associados e modificações de registo, e/ou evitando que o vector de infecção inicial permita que o sistema seja comprometido.
Aftermath
Trójans de Acesso Remoto têm o potencial de recolher grandes quantidades de informação contra os utilizadores de uma máquina infectada. Se forem encontrados programas de Trojans de Acesso Remoto num sistema, deve assumir-se que qualquer informação pessoal (que tenha sido acedida na máquina infectada) tenha sido comprometida. Os utilizadores devem actualizar imediatamente todos os nomes de utilizador e palavras-passe de um computador limpo, e notificar o administrador apropriado do sistema sobre o potencial comprometimento. Monitorizar cuidadosamente os relatórios de crédito e extractos bancários durante os meses seguintes para detectar qualquer actividade suspeita nas contas financeiras.
Anulação
Como em todos os casos, nunca clicar em e-mail ou links de website a partir de locais desconhecidos ou instalar software a pedido de partes desconhecidas. A utilização de uma solução anti-vírus e anti-malware respeitável ajudará a assegurar que os Trojans de Acesso Remoto não possam funcionar correctamente, e ajudará a mitigar qualquer recolha de dados. Bloqueie sempre os computadores públicos quando não estiverem a ser utilizados, e desconfie de e-mails ou chamadas telefónicas a pedir para instalar uma aplicação.