安全研究人员发现一种新型的远程访问木马（RAT）在讲俄语的地下黑客论坛上做广告。

名为T-RAT的恶意软件仅售45美元，其主要卖点是能够通过电报渠道而非基于Web的管理面板控制受感染的系统。

它的作者声称，这使购买者可以从任何位置更快，更轻松地访问受感染的计算机，从而让用户在发现RAT之前就立即激活受害者的数据窃取功能。

为此，RAT的电报通道支持98个命令，这些命令在主聊天窗口中键入时允许RAT所有者检索浏览器密码和cookie，浏览受害人的文件系统并搜索敏感数据，部署键盘记录器，通过麦克风录制音频，为受害者的桌面截图，通过网络摄像头拍照以及检索剪贴板内容。

此外，T-RAT所有者还可以部署剪贴板劫持机制，用替代方案替换看起来像加密货币和数字货币地址的字符串，从而使攻击者可以劫持交易解决方案，例如Qiwi，WMR，WMZ，WME，WMX，Yandex货币， Payeer，CC，BTC，BTCG，Ripple，Dogecoin和Tron。

此外，RAT还可以运行终端命令（CMD和PowerShell），阻止对某些网站（如防病毒和技术支持网站）的访问，杀死进程（安全性和调试软件），甚至禁用任务栏和任务管理器。

辅助命令和控制系统可通过RDP或VNC获得，但Telegram功能是向购买者宣传的功能，主要是因为易于安装和使用。

尽管许多RAT的广告经常被夸大，但 G DATA安全研究人员Karsten Hahn的分析证实了T-RAT的功能 。

Hahn在接受 ZDNet采访时说，T-RAT只是一系列具有按电报控制功能的最新恶意软件系列中的最新产品。

近年来，将Telegram用作命令和控制系统的趋势正在发展，并且T-RAT甚至不是第一个实现这种模型的RAT。

以前的版本包括 RATAttack  （2017年从GitHub上载和删除，针对Windows），  HeroRAT  （用于野外，针对Android），  TeleRAT  （用于对付伊朗人，针对Android），  IRRAT  （用于野外，针对Android） ）， RAT-via-Telegram  （可在GitHub上使用，以Windows为目标）和 Telegram-RAT  （可在GitHub上使用，以Windows为目标）。

分布向量仍然未知

目前，来自T-RAT的威胁相对较低。威胁行动者通常需要几个月的时间才能学会信任一种新的商业恶意软件。但是，哈恩认为RAT已经获得了关注。

“有新的T-RAT样本定期上传到VirusTotal，”哈恩告诉 网易科技。“我认为它是在分发中，但没有进一步的证据。”

但是，T-RAT并不是当今提供的唯一出售的新RAT。根据Recorded Future的说法，在黑客论坛上发布了另一种称为曼达里纳的新RAT。