A Natale 2019 feci un articolo con alcune query potenzialmente lamerose su Shodan. Siccome a Natale siamo tutti più buoni, anche coi lamer, oggi vi parlerò di Mosaique, un semplice tool per creare del RAT, ossia dei tool di accesso remoto.
Una piccola nota…
Allora, diciamocelo chiaramente, se non sapete quello che state facendo vi beccano e dubito che la Procura della Repubblica/Pubblica (se leggete dal lato giusto del confine) sia buona coi lamer, anche se è Natale. È certamente possibile usare questi software in modo abbastanza invisibile e rendere difficile il loro tracciamento, ad esempio usando una qualche VPS in luoghi remoti, ma questa giuda non tratterà ciò: vi dico solo che nel client del RAT c’è ben in chiaro l’host che verrà contattato…
Utente avvisato, mezzo salvato. Pensatelo a un qualcosa da installare sui vostri computer magari per fare uno scherzo a qualcuno o per mostrare come si può entrare in un sistema, non pensate nemmeno lontanamente di usarlo per scopi criminali.
Generare il RAT
Per prima cosa, disattivate l’antivirus. I software antimalware, infatti, non sono affatto contenti di vedervi trafficare con software del genere e urleranno a qualsiasi cosa farete. Tutto sommato, non hanno nemmeno tutti i torti.
Ora, potete scaricare MosaiqueRAT da GitHub. Il file che vi interessa è sotto la directory “Executables”. Una volta avviato dovrete cliccare su “Builder” e nella scheda network inserire l’hostname del vostro computer e la porta, un identificatore e dovrete generare casualmente un Mutex (che eviterà che possano girare più RAT sullo stesso sistema).
In standard, invece, potrete scegliere se abilitare il keylogging e scegliere un’icona specifica per l’exe, cosa utile se volete ad esempio usarlo per dell’ingegneria sociale, e in Installation potete selezionare alcune opzioni autoesplicative.
Ora potete tranquillamente generare il client…
Eseguire il client (e cosa può fare)
Per eseguirlo è sufficiente cliccarci sopra. Dopo qualche secondo (10-20 in locale, su Internet non so) vi apparirà il nuovo client e potrete fare varie cose come:
- Vedere il desktop e la webcam del dispositivo
- Inviare messaggi, alertbox e avviare una chat
- Registrare le digitazioni e vedere le password salvate
- Modificare le chiavi di registro e il task manager
- Far fare suoni simpatici al PC
- Modificare le applicazioni di avvio
- Nascondere le icone o la barra di Windows
- Possibilità di spegnere il PC
- La più succosa per qualsiasi uso davvero malevolo: la shell remota
Ergo, come capirete, è un tool utile sia per scherzi che anche per possibili usi illeciti. Tra l’altro, è anche possibile chiudere il client o disinstallarlo da remoto.
Limitazioni…
Prima di tutto funziona solo su sistemi a 64 bit e con .NET installato. Per carità, ormai sistemi a 32 bit son rari e .NET è quasi universale, ma è bene tenerlo a mente, dato che potrebbe essere necessario installarlo, magari pacchettizzandolo assieme se si intende usarlo per un cavallo di Troia.
Inoltre, sia chiaro, tali software fanno alzare qualche allerta da parte dei software antivirus.
Devo essere sincero: su un sistema protetto solo dai sistemi di Windows non è impossibile eseguirlo, se non arriva dal browser in forma non compressa e cifrata infatti, nel momento in cui ho scritto questo articolo, non viene segnalato immediatamente dalle difese informatiche. Qualora fosse proprio necessario il recapito via browser, ovviamente, nulla vieta di usare adeguata ingegneria sociale…