SectopRAT
Cybersecurity-eksperter har avdekket en helt ny RAT (Remote Access Trojan) kalt SectopRAT. Da de dissekerte trusselen, ble det tydelig at forfatterne fortsatt jobber med den. Ulike funksjoner fungerer ikke, og flere moduler ser ut til å være langt fra komplette.
Innholdsfortegnelse
Lanserer et sekundært skrivebord
Til tross for at det ennå er et ferdig prosjekt, har SectopRAT en veldig interessant egenskap. Denne trusselen kan starte en ekstra prosess kalt 'explorer.exe' som vil være skjult for offeret. Denne prosessen lanserer et annet skrivebord som brukeren ikke kan se, men angriperne kan operere fritt. Det andre skrivebordet vil tillate forfatterne av SectopRAT å gå gjennom offerets filer, surfe på Internett og endre forskjellige innstillinger og konfigurasjoner på den kompromitterte verten. Angriperne kan også starte en ny nettleserinstans. Imidlertid, hvis ofrene har satt opp nettleseren manuelt, i stedet for å bruke standardinstallasjonsinnstillingene, kan det hende at SectopRAT ikke kan fungere. Dette er fordi angriperne har brukt hardkodede kataloger for å kjøre nettleseren (uansett om det er Google Chrome, Mozilla Firefox eller Internet Explorer).
Andre evner
Bortsett fra funksjonene oppført over, kan SectopRAT også betjene markøren og starte en tastaturmodul. Dette betyr at angripernes kontroll nesten er ubegrenset, og de kan betjene den kompromitterte verten nesten som om de fysisk har overtatt den. Forskere oppdaget også at SectopRAT kunne endre adressen til C&C (Command & Control) -serveren ganske raskt og enkelt. SectopRAT har flere andre muligheter:
- Samle informasjon om den infiserte maskinen.
- Koble fra det kompromitterte systemet.
- Self-oppdatering.
Forfatterne av SectopRAT tester fremdeles vannet
Eksperter har oppdaget noen få forskjellige varianter av SectopRAT som er lastet opp til skanningstjenester som er ment å oppdage skadelig programvare. Forskere spekulerer i at dette kan gjøre forfatterne av SectopRAT. Dette betyr at det for øyeblikket ser ut til at angriperne dypper tå i vannet og tester om trusselen deres blir oppdaget av en sikkerhetsskanner. Blant de oppdagede prøvene var en variant av SectopRAT, som var forkledd som en Adobe Flash Player. Dette får oss til å tro at SectopRAT kan bli forplantet som en falsk kopi av Adobe Flash Player eller en oppdatering for applikasjonen.
Vær spesielt forsiktig når du surfer på nettet, og unngå skyggefulle nettsteder som kan være vert for tvilsomt innhold, ettersom dette er hva mange cyberkrevere stoler på for å spre skadelig programvare. I tillegg bør du laste ned og installere et anerkjent programvare mot skadelig programvare som vil holde systemet ditt sikkert.
