SectopRAT
A kiberbiztonsági szakértők felfedezték egy vadonatúj RAT-t (Remote Access Trojan), SectopRAT néven. Amikor felfedezték a fenyegetést, nyilvánvalóvá vált, hogy a szerzők továbbra is dolgoznak rajta. Számos funkció nem működik, és úgy tűnik, hogy számos modul messze nem teljes.
Tartalomjegyzék
Elindít egy Másodlagos Asztalot
Annak ellenére, hogy még nem fejeződik be a projekt, a SectopRAT nagyon érdekes funkcióval rendelkezik. Ez a fenyegetés elindíthat egy további, az „explorer.exe” nevű folyamatot, amelyet rejtett az áldozatoktól. Ez a folyamat elindít egy második asztalot, amelyet a felhasználó nem lát, de a támadók szabadon működhetnek. A második asztal lehetővé teszi a SectopRAT szerzőinek, hogy áttekintsék az áldozatok fájljait, böngészjen az interneten, és megváltoztassák a veszélyeztetett gazdagép különféle beállításait és konfigurációit. A támadók új böngészőpéldányt is indíthatnak. Ha azonban az áldozatok az alapértelmezett telepítési beállítások használata helyett manuálisan állították be webböngészőjét, akkor a SectopRAT nem működik. Ennek oka az, hogy a támadók a kódolt könyvtárakat használják a webböngésző futtatásához (függetlenül attól, hogy ez a Google Chrome, a Mozilla Firefox vagy az Internet Explorer).
Egyéb képességek
A fent felsorolt képességeken kívül a SectopRAT a kurzort is működtetheti és billentyűzetmodult indíthat. Ez azt jelenti, hogy a támadók ellenőrzése szinte korlátlan, és szinte úgy működtethetik a veszélyeztetett gazdagépet, mintha fizikailag átvették volna. A kutatók azt is felfedezték, hogy a SectopRAT meglehetősen gyorsan és egyszerűen megváltoztathatja a C&C (Command & Control) szerver címét. A SectopRAT számos más funkcióval is rendelkezik:
- Gyűjtsön információkat a fertőzött gépről.
- Válasszuk le a veszélyeztetett rendszert.
- Self-frissítés.
A SectopRAT szerzői továbbra is tesztelik a vizeket
A szakértők a SectopRAT néhány különféle változatát fedezték fel, amelyeket feltöltöttek olyan szkennelési szolgáltatásokhoz, amelyek célja a rosszindulatú programok észlelése. A kutatók azt gondolják, hogy ez lehet a SectopRAT szerzői. Ez azt jelenti, hogy egy pillanatra úgy tűnik, hogy a támadók merítik a lábujjukat a vízbe, és megvizsgálják, hogy veszélyüket egy biztonsági szkenner észlel-e. Az észlelt minták között szerepelt a SectopRAT egyik változata, amelyet Adobe Flash Player-ként álcáztak. Ez arra késztet minket, hogy a SectopRAT az Adobe Flash Player hamis másolataként vagy az alkalmazás frissítéseként terjeszthető.
Különösen óvatosnak kell lennie az internetes böngészés során, és kerülje az árnyékos webhelyeket, amelyek esetleg kétes tartalmat tárolnak, mivel erre sok számítógépes csaló támaszkodik a rosszindulatú programok terjesztésére. Ezenkívül le kell töltenie és telepítenie kell egy jó hírű, rosszindulatú programok elleni alkalmazást, amely megőrzi a rendszer biztonságát.
