SectopRAT

Cybersecurity-Experten haben einen brandneuen RAT (Remote Access Trojaner) namens SectopRAT entdeckt. Als sie die Bedrohung untersuchten, stellte sich heraus, dass die Autoren immer noch daran arbeiten. Verschiedene Funktionen funktionieren nicht und einige Module scheinen noch lange nicht vollständig zu sein.

Startet einen sekundären Desktop

Obwohl es sich um ein noch nicht abgeschlossenes Projekt handelt, weist der SectopRAT eine sehr interessante Funktion auf. Diese Bedrohung kann einen zusätzlichen Prozess namens "explorer.exe" starten, der vor dem Opfer verborgen bleibt. Durch diesen Vorgang wird ein zweiter Desktop gestartet, den der Benutzer nicht sehen kann, der Angreifer jedoch frei arbeiten kann. Über den zweiten Desktop können die Autoren von SectopRAT die Dateien des Opfers durchsuchen, im Internet surfen und verschiedene Einstellungen und Konfigurationen auf dem gefährdeten Host ändern. Die Angreifer können auch eine neue Browser-Instanz starten. Wenn die Opfer jedoch ihren Webbrowser manuell eingerichtet haben, anstatt die Standardinstallationseinstellungen zu verwenden, kann der SectopRAT möglicherweise nicht ausgeführt werden. Dies liegt daran, dass die Angreifer fest codierte Verzeichnisse zum Ausführen des Webbrowsers verwendet haben (unabhängig davon, ob es sich um Google Chrome, Mozilla Firefox oder Internet Explorer handelt).

Andere Funktionen

Neben den oben aufgeführten Funktionen kann der SectopRAT auch den Cursor bedienen und ein Tastaturmodul starten. Dies bedeutet, dass die Kontrolle der Angreifer nahezu unbegrenzt ist und sie den angegriffenen Host so bedienen können, als hätten sie ihn physisch übernommen. Die Forscher stellten außerdem fest, dass der SectopRAT die Adresse des C & C-Servers (Command & Control) relativ schnell und einfach ändern kann. Der SectopRAT verfügt über mehrere andere Funktionen:

• Sammeln Sie Informationen über den infizierten Computer.
• Trennen Sie die Verbindung zum betroffenen System.
• Selbstaktualisierung.

Die Autoren der SectopRAT testen immer noch das Wasser

Experten haben einige verschiedene Varianten von SectopRAT entdeckt, die zu Scan-Diensten hochgeladen wurden, die Malware erkennen sollen. Die Forscher spekulieren, dass dies die Autoren des SectopRAT tun könnten. Dies bedeutet, dass die Angreifer im Moment scheinbar ihre Zehen ins Wasser tauchen und prüfen, ob ihre Bedrohung von einem Sicherheitsscanner erkannt wird. Unter den gefundenen Samples befand sich eine Variante des SectopRAT, die als Adobe Flash Player getarnt war. Dies lässt uns glauben, dass SectopRAT möglicherweise als gefälschte Kopie des Adobe Flash Player oder als Update für die Anwendung verbreitet wird.

Seien Sie beim Surfen im Internet besonders vorsichtig und vermeiden Sie zwielichtige Websites, auf denen möglicherweise zweifelhafte Inhalte gehostet werden, da sich viele Cyber-Gauner darauf verlassen, um Malware zu verbreiten. Außerdem sollten Sie eine seriöse Anti-Malware-Anwendung herunterladen und installieren, die Ihr System sicher hält.