SectopRAT
Kyberturvallisuuden asiantuntijat ovat paljastaneet upouuden RAT: n (Remote Access Trojan), nimeltään SectopRAT. Kun he leikkasivat uhan, kävi ilmeiseksi, että sen kirjoittajat työskentelevät edelleen sen parissa. Useat toiminnot eivät toimi, ja useat moduulit näyttävät olevan kaukana valmista.
Sisällysluettelo
Käynnistää toissijaisen työpöydän
Siitä huolimatta, että SectopRAT on vielä valmis projekti, sillä on kuitenkin erittäin mielenkiintoinen ominaisuus. Tämä uhka voi käynnistää ”explorer.exe” -nimisen lisäprosessin, joka on piilotettu uhrilta. Tämä prosessi käynnistää toisen työpöydän, jota käyttäjä ei voi nähdä, mutta hyökkääjät voivat toimia vapaasti. Toisen työpöydän avulla SectopRAT: n kirjoittajat voivat käydä läpi uhrin tiedostoja, selata Internetiä ja muuttaa vaarannetun isännän erilaisia asetuksia ja kokoonpanoja. Hyökkääjät voivat myös käynnistää uuden selain-ilmentymän. Jos uhrit ovat kuitenkin asentaneet web-selaimensa manuaalisesti oletusasennuksen asetusten sijasta, SectopRAT ei ehkä pysty toimimaan. Tämä johtuu siitä, että hyökkääjät ovat käyttäneet koodattuja hakemistoja Web-selaimen suorittamiseen (riippumatta siitä, onko kyseessä Google Chrome, Mozilla Firefox vai Internet Explorer).
Muut kyvyt
Edellä lueteltujen ominaisuuksien lisäksi SectopRAT voi käyttää myös kohdistinta ja käynnistää näppäimistömoduulin. Tämä tarkoittaa, että hyökkääjien hallinta on melkein rajoittamatonta, ja he voivat toimia vaarannetussa isäntässä melkein kuin he olisivat ottaneet sen fyysisesti haltuunsa. Tutkijat havaitsivat myös, että SectopRAT voisi muuttaa C&C (Command & Control) -palvelimen osoitetta melko nopeasti ja helposti. SectopRAT: lla on useita muita ominaisuuksia:
- Kerää tietoja tartunnan saaneesta koneesta.
- Irrota yhteys vaarannettuun järjestelmään.
- Päivittää itsensä.
SectopRAT: n kirjoittajat testaavat edelleen vesiä
Asiantuntijat ovat havainneet muutamia SectopRAT: n erilaisia versioita, jotka on ladattu skannauspalveluihin, jotka on tarkoitettu haittaohjelmien havaitsemiseksi. Tutkijat spekuloivat, että tämä saattaa olla SectopRAT: n tekijöiden tekemä. Tämä tarkoittaa, että hyökkääjät näyttävät tällä hetkellä upottavan varpaansa veteen ja testaavan, havaitsevatko heidän uhansa turvaskanneri. Havaittujen näytteiden joukossa oli muun muassa SectopRAT, joka oli naamioitu Adobe Flash Playeriksi. Tämä saa meidät uskomaan, että SectopRAT voidaan levittää Adobe Flash Player -sovelluksen väärennöksenä tai sovelluksen päivityksenä.
Ole erityisen varovainen selatessasi verkkoa ja vältä varjoisat verkkosivustot, jotka saattavat ylläpitää kyseenalaista sisältöä, koska tähän monet verkkopyrkkekset luottavat haittaohjelmien levittämiseen. Lisäksi sinun tulee ladata ja asentaa hyvämaineinen haittaohjelmien torjuntaohjelma, joka pitää järjestelmän turvassa.
