SectopRAT
Stručnjaci za cyber sigurnost otkrili su potpuno novi RAT (Remote Access Trojan) nazvan SectopRAT. Kad su razišli prijetnju, postalo je očito da njeni autori i dalje rade na njoj. Razne funkcije ne rade, a čini se da je nekoliko modula daleko od cjelovitih.
Sadržaj
Pokreće sekundarnu radnu površinu
Međutim, iako je projekt koji tek treba dovršiti, SectopRAT ima vrlo zanimljivu značajku. Ova prijetnja može pokrenuti dodatni postupak nazvan 'explorer.exe' koji će biti skriven od žrtve. Ovaj postupak pokreće drugu radnu površinu koju korisnik ne može vidjeti, ali napadači mogu slobodno raditi. Druga radna površina omogućit će autorima SectopRAT-a da prođu kroz datoteke žrtve, pregledavaju Internet i mijenjaju različite postavke i konfiguracije na kompromitiranom hostu. Napadači također mogu pokrenuti novu instancu preglednika. Međutim, ako su žrtve ručno postavile svoj web preglednik, umjesto da koriste zadane instalacijske postavke, SectopRAT možda neće moći raditi. To je zato što su napadači koristili tvrdo kodirane direktorije za pokretanje web preglednika (bez obzira je li to Google Chrome, Mozilla Firefox ili Internet Explorer).
Ostale sposobnosti
Osim gore navedenih mogućnosti, SectopRAT također može upravljati kursorom i pokretati modul tipkovnice. To znači da je kontrola napadača gotovo neograničena i da mogu kompromitirani domaćin raditi gotovo kao da su ga fizički preuzeli. Istraživači su također otkrili da SectopRAT može prilično brzo i lako promijeniti adresu poslužitelja C&C (Command & Control). SectopRAT ima nekoliko drugih mogućnosti:
- Prikupite podatke o zaraženom stroju.
- Odspojite od kompromitiranog sustava.
- Samostalno ažuriranje.
Autori SectopRAT-a još uvijek testiraju vode
Stručnjaci su otkrili nekoliko različitih inačica SectopRAT-a koji su preneseni na usluge skeniranja čiji je cilj otkrivanje zlonamjernog softvera. Istraživači nagađaju da su to možda činili autori SectopRAT-a. To znači da se čini da napadači za sada uranjaju nožni prst u vodu i testiraju hoće li sigurnosnu skener otkriti njihovu prijetnju. Među otkrivenim uzorcima bila je i varijanta SectopRAT-a koji je bio prerušen u Adobe Flash Player. To nas navodi da vjerujemo da se SectopRAT može širiti kao lažna kopija Adobe Flash Player-a ili ažuriranje za aplikaciju.
Budite posebno oprezni prilikom pregledavanja weba i izbjegavajte sjenovite web stranice koje možda ugošćuju sumnjiv sadržaj, jer upravo se to mnogi cyber prevaranti oslanjaju na širenje zlonamjernog softvera. Uz to, trebali biste preuzeti i instalirati uglednu aplikaciju protiv zlonamjernog softvera koja će zaštititi vaš sustav.
