S-400 RAT
S-400 RAT to trojan zdalnego dostępu (RAT), który posiada różnorodne możliwości włamań. RAT to niezwykle szkodliwe zagrożenia, a ich obecność na komputerze stanowi ogromne zagrożenie bezpieczeństwa, wymagające natychmiastowej i zdecydowanej reakcji. Rzeczywiście, z S-400 należy się jak najszybciej uporać, ponieważ jakakolwiek dłuższa obecność na urządzeniu zwiększy szanse atakujących na osiągnięcie swoich celów.
Po przeanalizowaniu zagrożenia analitycy cyberbezpieczeństwa odkryli, że jest on w stanie działać jako backdoor, wykradający informacje, koparka kryptowalut, keylogger i clipper. S-400 RAT jest również wyposażony w różne techniki antyanalizy. Na przykład zagrożenie wykonuje kilka testów, próbując określić, czy jest wykonywane na maszynie wirtualnej, czy w środowisku piaskownicy.
Natychmiast po ustanowieniu na docelowym systemie S-400 zacznie zbierać ważne dane systemowe, które zostaną przesłane do atakujących. Następnie utworzy kanał backdoora, który pozwoli hakerom przejąć prawie pełną kontrolę nad zaatakowanym urządzeniem, jeśli chcą.
S-400 RAT może zbierać ogromne ilości prywatnych danych, które wyodrębnia z zainstalowanych przeglądarek i innych aplikacji. Docelowe dane mogą obejmować dane uwierzytelniające konta, dane finansowe i bankowe, inne informacje zapisane jako opcja autouzupełniania, całą historię wyszukiwania i przeglądania oraz wiele innych. Aby uzupełnić swoją funkcjonalność zbierania danych, S-400 RAT może również tworzyć procedury rejestrowania klawiszy, które przechwytują każde naciśnięcie przycisku na klawiaturze lub myszy.
Osoby atakujące mogą również poinstruować S-400, aby aktywował swoje możliwości wydobywania kryptowalut. W takim przypadku zagrożenie przejmie zasoby sprzętowe systemu i użyje ich do wydobycia wybranej kryptowaluty. W zależności od powagi sytuacji system może zacząć zmagać się nawet z podstawowymi operacjami, ponieważ zagrożenie zajmie moc procesora lub karty graficznejcałkowicie.
Wreszcie, dzięki możliwościom strzyżenia, S-400 może zastąpić dane zapisane w przestrzeni pamięci bufora kopiowania/wklejania. Technika ta jest powszechnie stosowana przez hakerów do zamiany adresu portfela kryptograficznego zapisanego przez użytkownika na własny, tym samym przekierowując transferowane środki na konta pod ich kontrolą.