Trojan.DarktrackRAT

O Trojan.DarktrackRAT é um nome de detecção que muitas empresas de segurança cibernética usam para se referir a um Trojan de Acesso Remoto avançado, que pode invadir os computadores por meio de aplicativos gratuitos corrompidos, shareware pirateado e jogos corrompidos. Muitos exemplos do Trojan.DarktrackRAT mostram o nome 'Darktrack Client v4.1 Alien' das suas propriedades de descrição de arquivo. Acredita-se que o malware DarktrackRAT tenha existido na Dark Web desde o final de 2016, e seus desenvolvedores forneceram versões gratuitas limitadas do programa na Dark Web. As principais características do DarktrackRAT incluem o seguinte:

• Gerenciador de conexões - mostra uma breve visualização das conexões ativas e inativas das máquinas infectadas.
• Visualizador da Área de Trabalho — permite que um agente de ameaça examine a área de trabalho da vítima, crie arquivos, exclua e mova arquivos para diretórios existentes.
• Editor do Comando do OnConnect (O OnConnect é o software de upload de dados do Decathlon Group. Ele gerencia o upload e a interpretação dos dados gravados pelo pod Personal Coach e os exibe na plataforma) — permite que os agentes de ameaça especifiquem quais comandos o Trojan deve executar no primeiro lançamento e quais informações devem ser reportadas aos servidores de 'Comando e Controle'.
• Visualizador de Mapas — a ferramenta está configurada para exibir a localização dos computadores infectados usando uma configuração de mapa personalizada no serviço legítimo do Google Maps on-line.
• Atualizador Automático — uma ferramenta para empurrar bibliotecas atualizadas para hosts infectados ativos. A ferramenta Atualizador Automático pode descartar pacotes de atualização em computadores remotos e configurar uma atualização atrasada através de um arquivo no disco local ou configurar uma atualização a ser obtida de um site infectado.
• Testador de Tensão da Rede — um conjunto de ferramentas que permitem inundações UDP e HTTP que limitam a conectividade da rede dos computadores visados.

O programa DarktrackRAT oferece suporte à funcionalidade padrão que você pode esperar dos utilitários legítimos de área de trabalho remota, tais como o TeamViewer e o LogMeIn. Os computadores infectados podem ser controlados remotamente sem alertar os usuários ativos. O DarktrackRAT permite que os agentes de ameaças criem, movam e editem os arquivos salvos; altere as entradas do Registro; remova, instale e execute programas; procure por arquivos; imprima fotos na tela; acompanhe e grave o conteúdo da área de transferência. Além disso, o Trojan.DarktrackRAT pode identificar computadores em rede e extrair arquivos de pastas compartilhadas. Os recursos de vigilância são suportados pelo DarktrackRAT e incluem:

• Visualizador de Transferência de Arquivos para o Skype — permite que os agentes de ameaças copiem arquivos enviados por meio do cliente de mensagens instantâneas da Microsoft.
• Visualizador de Contatos do Skype — permite que os agentes de ameaças visualizem os contatos do usuário.
• Visualizador de Registros de Mensagens Instantâneas do Skype — os agentes de ameaças podem visualizar as mensagens enviadas e recebidas no cliente de mensagens.
• Gravador de Áudio/Vídeo — o módulo grava áudio do microfone instalado no formato WAV e pode gravar vídeo em um contêiner AVI.
• Streaming com a Webcam — os agentes de ameaças podem receber resultados em tempo real das câmeras instaladas nos dispositivos infetados.
• Keylogging — uma ferramenta keylogger é carregada em segundo plano e registra as entradas no teclado do usuário.
• Ferramenta de Recuperação de Senha — o módulo permite que o DarktrackRAT extraia as informações de login salvas no Mozilla Firefox, Google Chrome, e nos navegadores baseados no Chromium, Microsoft Outlook e FileZilla.

Sabe-se que os hosts infectados interagem com os servidores de 'Comando e Controle' pela porta 1603 e se conectam ao endereço de IP 76.107.206.114. Os usuários comprometidos podem notar movimentos irregulares do cursor do mouse, a abertura e o fechamento da bandeja de DVD/CD, sons suspeitos no sistema e aumento do uso da CPU enquanto o sistema parece estar ocioso. Os clientes do DarktrackRAT podem rodar em máquinas infectadas como 'server.exe' e 'unigen.exe'. Recomenda-se remover o DarktrackRAT usando um serviço anti-malware respeitável. Os nomes de detecção a seguir são empregados pelos fornecedores de anti-vírus em relação ao DarktrackRAT:

Artemis!23086989405E
Backdoor.Fynloski.S14021
Dropper.Agent.Win32.273977
TR/Spy.Gen
TrojWare.Win32.Trojan.Generic.36979330
Trojan ( 004f5ef11 )
Trojan.Generic.8157780
Trojan/Refroso.fne
Trojan:Win32/VB.AAW
W32/Generic.AP.1932E6!tr
Win32/TrojanDropper.Agent.POB
Win32:BackDoor-ACX [Trj]
malicious_confidence_100% (W

Índice

1

SpyHunter detecta e remove Trojan.DarktrackRAT