SectopRAT
Os especialistas em segurança cibernética descobriram um RAT (Trojan de acesso remoto) novinho em folha chamado SectopRAT. Quando dissecaram a ameaça, ficou evidente que seus autores ainda estavam trabalhando nela. Várias funções não estão funcionando e vários módulos parecem estar longe de estar completos.
Índice
Lança uma Área de Trabalho Secundária
No entanto, apesar de ser um projeto ainda por terminar, o SectopRAT possui um recurso muito interessante. Essa ameaça pode iniciar um processo adicional chamado 'explorer.exe' que será oculto da vítima. Esse processo inicia uma segunda área de trabalho que o usuário não pode ver, mas os atacantes podem operar livremente. A segunda área de trabalho permitirá que os autores do SectopRAT vasculhem os arquivos da vítima, naveguem na Internet e alterem várias definições e configurações no host comprometido. Os invasores também podem iniciar uma nova instância do navegador. No entanto, se as vítimas configuraram seu navegador da Web manualmente, em vez de usar as configurações de instalação padrão, o SectopRAT pode não ser capaz de operar. Isso ocorre porque os invasores utilizaram diretórios codificados para executar o navegador da Web (independentemente de ser o Google Chrome, Mozilla Firefox ou Internet Explorer).
Outras Capacidades
Além dos recursos listados acima, o SectopRAT também pode operar o cursor e iniciar um módulo de teclado. Isso significa que o controle dos invasores é quase ilimitado e eles podem operar o host comprometido quase como se o controlassem fisicamente. Os pesquisadores também descobriram que o SectopRAT poderia alterar o endereço do servidor de C&C (Comando e Controle) de maneira rápida e fácil. O SectopRAT possui vários outros recursos:
- Coleta informações sobre a máquina infectada.
- Desconecta-se do sistema comprometido.
- Atualiza-se automáticamente.
Os Autores do SectopRAT Ainda estão Testando as Águas
Os especialistas detectaram algumas variantes diferentes do SectopRAT que foram carregadas em serviços de verificação destinados a detectar malware. Os pesquisadores especulam que isso pode ser feito pelos autores do SectopRAT. Isso significa que, no momento, os atacantes parecem estar mergulhando o dedo na água e testando se a ameaça será detectada por um scanner de segurança. Entre as amostras detectadas, havia uma variante do SectopRAT, disfarçada de Adobe Flash Player. Isso nos leva a crer que o SectopRAT pode ser propagado como uma cópia falsa do Adobe Flash Player ou uma atualização para o aplicativo.
Seja especialmente cuidadoso ao navegar na Web e evite sites obscuros que possam hospedar conteúdo duvidoso, pois é nisso que muitos cibercriminosos confiam para espalhar malware. Além disso, você deve baixar e instalar um aplicativo anti-malware respeitável que manterá seu sistema seguro.
