„SectopRAT“
Kibernetinio saugumo ekspertai atidengė visiškai naują RAT (Remote Access Trojan), pavadintą SectopRAT. Kai jie išskleidė grėsmę, tapo akivaizdu, kad jos autoriai vis dar dirba. Įvairios funkcijos neveikia, ir atrodo, kad keli moduliai nėra visiškai atlikti.
Turinys
Paleidžia antrinį darbalaukį
Nepaisant to, kad „SectopRAT“ yra dar nebaigtas projektas, jis turi labai įdomią funkciją. Ši grėsmė gali pradėti papildomą procesą, vadinamą „explorer.exe“, kuris bus paslėptas nuo aukos. Šis procesas paleidžia antrą darbalaukį, kurio vartotojas nemato, tačiau užpuolikai gali laisvai veikti. Antrasis darbalaukis leis „SectopRAT“ autoriams peržvelgti aukos failus, naršyti internete ir pakeisti įvairius pažeistojo kompiuterio parametrus ir konfigūraciją. Užpuolikai taip pat gali paleisti naują naršyklės egzempliorių. Tačiau, jei aukos savo interneto naršyklę nustatė rankiniu būdu, o ne naudojo numatytuosius diegimo parametrus, „SectopRAT“ gali nesuveikti. Taip yra todėl, kad užpuolikai interneto naršyklei paleisti naudojo užkoduotus katalogus (nepriklausomai nuo to, ar tai „Google Chrome“, „Mozilla Firefox“ ar „Internet Explorer“).
Kitos galimybės
Be jau išvardytų galimybių, „SectopRAT“ taip pat gali valdyti žymeklį ir paleisti klaviatūros modulį. Tai reiškia, kad užpuolikų kontrolė yra beveik neribota, ir jie gali veikti su kompromituojančiu šeimininku beveik taip, tarsi būtų jį fiziškai perėmę. Tyrėjai taip pat išsiaiškino, kad „SectopRAT“ gana greitai ir lengvai gali pakeisti C&C („Command & Control“) serverio adresą. „SectopRAT“ turi keletą kitų galimybių:
- Surinkite informaciją apie užkrėstą aparatą.
- Atjunkite nuo pažeistos sistemos.
- Savarankiškas atnaujinimas.
„SectopRAT“ autoriai vis dar testuoja vandenis
Ekspertai aptiko keletą skirtingų „SectopRAT“ variantų, kurie buvo įkelti į nuskaitymo tarnybas, skirtas aptikti kenkėjiškas programas. Tyrėjai spėja, kad tai gali padaryti „SectopRAT“ autoriai. Tai reiškia, kad kol kas atrodo, kad užpuolikai panardina kojos pirštus į vandenį ir tikrina, ar jų grėsmę aptiks saugos skaitytuvas. Tarp aptiktų pavyzdžių buvo „SectopRAT“ variantas, kuris buvo paslėptas kaip „Adobe Flash Player“. Tai verčia mus manyti, kad „SectopRAT“ gali būti platinamas kaip suklastota „Adobe Flash Player“ kopija arba programos atnaujinimas.
Būkite ypač atidūs naršydami internete ir venkite šešėlinių svetainių, kuriose gali būti talpinamas abejotinas turinys, nes būtent tuo daugelis internetinių sukčių pasikliauja kenkėjiškų programų platinimu. Be to, turėtumėte atsisiųsti ir įdiegti patikimą apsaugos nuo kenkėjiškų programų programą, kuri užtikrins jūsų sistemos saugumą.
