Escanor RAT

Die Escanor RAT ist eine mächtige Malware-Bedrohung, die Cyberkriminellen zum Kauf angeboten wird. Genauer gesagt wird die RAT in Dark-Web-Foren und auf der Social-Media-Plattform Telegram beworben. Bisher wurden zwei Versionen der Bedrohung identifiziert; eine richtet sich an Android-basierte Geräte und die andere an PC-basierte Systeme. Anzumerken ist, dass seit der Verkaufsfreigabe am 26. Januar 2022 die zunächst eingeschränkte Drohfunktionalität der Bedrohung erheblich erweitert wurde.

Einzelheiten über die Escanor RAT (die mobile Version ist als „Esca RAT“ bekannt) wurden in einem Bericht eines in Los Angeles ansässigen Cybersicherheitsunternehmens veröffentlicht. Ihren Erkenntnissen zufolge waren die ersten Versionen der RAT nur ein kompaktes HVNC-Implantat (Hidden Virtual Network Computing), das den Angreifern Fernzugriff auf das angegriffene System verschaffen sollte. Die Fähigkeiten späterer Versionen wurden durch die Einbeziehung von Datenerfassungs- und Keylogging-Routinen verbessert. Die mobile Escanor RAT kann effektiv als Banking-Trojaner eingesetzt werden, der auf die Bankdaten seiner Opfer abzielt. Die Bedrohung kann OTP-Codes (One-Time Password) abfangen, den GPS-Standort des Geräts verfolgen, die Kontrolle über die Kamera übernehmen, Dateien auf dem Gerät durchsuchen und Daten sammeln.

Bisher wurden Opfer der Escanor-RAT auf der ganzen Welt identifiziert, in so weit voneinander entfernten Ländern wie den USA, den Vereinigten Arabischen Emiraten, Ägypten, Mexiko, Singapur, Kanada, Kuwait, Israel und mehr. Der Infektionsvektor umfasst typischerweise bewaffnete Microsoft Office- oder Adobe PDF-Dokumente.