SectopRAT

Cybersecurity-eksperter har afsløret en splinterny RAT (Remote Access Trojan) kaldet SectopRAT. Da de dissekerede truslen, blev det tydeligt, at dets forfattere stadig arbejder på den. Forskellige funktioner fungerer ikke, og flere moduler ser ud til at være langt fra komplette.

Lancerer et sekundært skrivebord

På trods af at det endnu er et færdigt projekt, har SectopRAT imidlertid en meget interessant funktion. Denne trussel kan starte en yderligere proces kaldet 'explorer.exe', som vil være skjult for offeret. Denne proces lancerer et andet skrivebord, som brugeren ikke kan se, men angriberen kan operere frit. Det andet skrivebord gør det muligt for forfatterne af SectopRAT at gå gennem offerets filer, surfe på Internettet og ændre forskellige indstillinger og konfigurationer på den kompromitterede vært. Angriberen kan også starte en ny browserinstans. Hvis ofrene imidlertid har konfigureret deres webbrowser manuelt, i stedet for at bruge standardinstallationsindstillingerne, er SectopRAT muligvis ikke i stand til at fungere. Dette skyldes, at angriberen har brugt hardkodede mapper til at køre webbrowseren (uanset om det er Google Chrome, Mozilla Firefox eller Internet Explorer).

Andre muligheder

Bortset fra de ovenfor anførte funktioner, kan SectopRAT også betjene markøren og starte et tastaturmodul. Dette betyder, at angriberenes kontrol er næsten ubegrænset, og de kan betjene den kompromitterede vært næsten som om de fysisk har overtaget den. Forskere opdagede også, at SectopRAT kunne ændre adressen på C&C (Command & Control) serveren ret hurtigt og nemt. SectopRAT har flere andre muligheder:

  • Indsamle oplysninger om den inficerede maskine.
  • Afbryd forbindelsen fra det kompromitterede system.
  • Self-opdatering.

Forfatterne af SectopRAT tester stadig vandet

Eksperter har fundet et par forskellige varianter af SectopRAT, der er blevet uploadet til scanningstjenester, der er beregnet til at detektere malware. Forskere spekulerer i, at dette kan gøre forfatterne af SectopRAT. Det betyder, at angriberen for øjeblikket ser ud til at dyppe tåen i vandet og teste, om deres trussel vil blive opdaget af en sikkerhedsscanner. Blandt de fundne prøver var en variant af SectopRAT, som var forklædt som en Adobe Flash Player. Dette får os til at tro, at SectopRAT kan blive opformeret som en falsk kopi af Adobe Flash Player eller en opdatering til applikationen.

Vær særlig forsigtig, når du surfer på Internettet og undgå skyggefulde websteder, der muligvis er vært med tvivlsomt indhold, da det er, hvad mange cyber-skurker stoler på for at sprede malware. Derudover skal du downloade og installere et hæderligt anti-malware-program, der vil holde dit system sikkert.

Trending

Mest sete

Indlæser...