SectopRAT

Cybersecurity-experts hebben een geheel nieuwe RAT (Remote Access Trojan) ontdekt, genaamd SectopRAT. Toen ze de dreiging ontleedden, werd duidelijk dat de auteurs er nog steeds aan werken. Verschillende functies werken niet en verschillende modules lijken verre van voltooid.

Lanceert een secundair bureaublad

Ondanks dat het een nog af te werken project is, heeft de SectopRAT een zeer interessante functie. Deze dreiging kan een extra proces genaamd 'explorer.exe' starten dat voor het slachtoffer wordt verborgen. Dit proces start een tweede bureaublad dat de gebruiker niet kan zien, maar de aanvallers vrij kunnen werken. Met het tweede bureaublad kunnen de auteurs van de SectopRAT door de bestanden van het slachtoffer gaan, op internet surfen en verschillende instellingen en configuraties op de gecompromitteerde host wijzigen. De aanvallers kunnen ook een nieuwe browserinstantie starten. Als de slachtoffers hun webbrowser echter handmatig hebben ingesteld in plaats van de standaardinstallatie-instellingen te gebruiken, kan de SectopRAT mogelijk niet werken. Dit komt omdat de aanvallers hardgecodeerde mappen hebben gebruikt om de webbrowser uit te voeren (ongeacht of dit Google Chrome, Mozilla Firefox of Internet Explorer is).

Overige mogelijkheden

Naast de hierboven genoemde mogelijkheden, kan de SectopRAT ook de cursor bedienen en een toetsenbordmodule starten. Dit betekent dat de controle van de aanvallers bijna onbeperkt is en dat ze de gecompromitteerde host bijna kunnen bedienen alsof ze deze fysiek hebben overgenomen. Onderzoekers ontdekten ook dat de SectopRAT het adres van de C&C (Command & Control) -server redelijk snel en gemakkelijk kon wijzigen. De SectopRAT heeft verschillende andere mogelijkheden:

  • Verzamel informatie over de geïnfecteerde machine.
  • Verbreek de verbinding met het gecompromitteerde systeem.
  • Automatisch worden bijgewerkt.

De auteurs van de SectopRAT testen nog steeds de wateren

Experts hebben een paar verschillende varianten van de SectopRAT gedetecteerd die zijn geüpload naar scanservices die bedoeld zijn om malware te detecteren. Onderzoekers speculeren dat dit mogelijk is door de auteurs van de SectopRAT. Dit betekent dat de aanvallers momenteel hun teen in het water lijken te dompelen en testen of hun dreiging wordt gedetecteerd door een beveiligingsscanner. Onder de gedetecteerde voorbeelden was een variant van de SectopRAT, die was vermomd als een Adobe Flash Player. Dit doet ons geloven dat de SectopRAT kan worden verspreid als een nepkopie van de Adobe Flash Player of een update voor de toepassing.

Wees vooral voorzichtig bij het browsen op het web en vermijd schaduwrijke websites die mogelijk dubieuze inhoud hosten, omdat veel cybercriminelen hiervan vertrouwen om malware te verspreiden. Bovendien moet u een gerenommeerde anti-malwaretoepassing downloaden en installeren die uw systeem veilig houdt.

Trending

Meest bekeken

Bezig met laden...