SectopRAT

Gli esperti di sicurezza informatica hanno scoperto un nuovissimo RAT (Remote Access Trojan) chiamato SectopRAT. Quando hanno analizzato la minaccia, è diventato evidente che i suoi autori ci stanno ancora lavorando. Varie funzioni non funzionano e diversi moduli sembrano lungi dall'essere completi.

Avvia un desktop secondario

Tuttavia, nonostante sia un progetto ancora da ultimare, SectopRAT ha una funzione molto interessante. Questa minaccia può avviare un ulteriore processo chiamato "explorer.exe" che verrà nascosto alla vittima. Questo processo avvia un secondo desktop che l'utente non può vedere, ma gli aggressori possono operare liberamente. Il secondo desktop consentirà agli autori di SectopRAT di sfogliare i file della vittima, navigare in Internet e modificare varie impostazioni e configurazioni sull'host compromesso. Gli aggressori possono anche avviare una nuova istanza del browser. Tuttavia, se le vittime hanno impostato manualmente il proprio browser Web, anziché utilizzare le impostazioni di installazione predefinite, SectopRAT potrebbe non essere in grado di funzionare. Questo perché gli aggressori hanno utilizzato directory hardcoded per eseguire il browser Web (indipendentemente dal fatto che si tratti di Google Chrome, Mozilla Firefox o Internet Explorer).

Altre funzionalità

Oltre alle funzionalità sopra elencate, SectopRAT può anche azionare il cursore e avviare un modulo tastiera. Ciò significa che il controllo degli attaccanti è quasi illimitato e possono far funzionare l'host compromesso quasi come se lo avessero assunto fisicamente. I ricercatori hanno anche scoperto che SectopRAT potrebbe cambiare l'indirizzo del server C&C (Command & Control) in modo abbastanza rapido e semplice. SectopRAT ha molte altre funzionalità:

• Raccogliere informazioni sulla macchina infetta.
• Disconnettersi dal sistema compromesso.
• Auto-aggiornamento.

Gli autori di SectopRAT stanno ancora testando le acque

Gli esperti hanno rilevato alcune diverse varianti di SectopRAT che sono state caricate nei servizi di scansione che hanno lo scopo di rilevare malware. I ricercatori ipotizzano che ciò possa essere fatto dagli autori del SectopRAT. Ciò significa che per il momento, gli aggressori sembrano immergere il dito del piede in acqua e testare se la loro minaccia verrà rilevata da uno scanner di sicurezza. Tra i campioni rilevati c'era una variante del SectopRAT, che era mascherato da Adobe Flash Player. Questo ci porta a credere che SectopRAT possa essere propagato come una copia falsa di Adobe Flash Player o un aggiornamento per l'applicazione.

Fai particolare attenzione quando navighi sul Web ed evita i siti Web ombreggiati che potrebbero ospitare contenuti dubbi, poiché questo è ciò su cui molti cyber criminali si affidano per diffondere malware. Inoltre, è necessario scaricare e installare un'applicazione anti-malware affidabile che proteggerà il sistema.