SectopRAT
Эксперты по кибербезопасности обнаружили совершенно новый RAT (троян удаленного доступа) под названием SectopRAT. Когда они проанализировали угрозу, стало очевидно, что ее авторы все еще работают над ней. Различные функции не работают, и некоторые модули, кажется, далеки от завершения.
Оглавление
Запускает дополнительный рабочий стол
Тем не менее, несмотря на то, что проект SectopRAT еще не завершен, у него есть очень интересная особенность. Эта угроза может запустить дополнительный процесс с именем 'explorer.exe', который будет скрыт от жертвы. Этот процесс запускает второй рабочий стол, который пользователь не может видеть, но злоумышленники могут работать свободно. Второй рабочий стол позволит авторам SectopRAT просматривать файлы жертвы, просматривать Интернет и изменять различные настройки и конфигурации на скомпрометированном хосте. Злоумышленники также могут запустить новый экземпляр браузера. Однако, если жертвы настроили свой веб-браузер вручную, вместо использования параметров установки по умолчанию, SectopRAT может не работать. Это связано с тем, что злоумышленники использовали жестко закодированные каталоги для запуска веб-браузера (независимо от того, является ли это Google Chrome, Mozilla Firefox или Internet Explorer).
Другие возможности
Помимо перечисленных выше возможностей, SectopRAT также может управлять курсором и запускать модуль клавиатуры. Это означает, что контроль злоумышленников практически неограничен, и они могут управлять взломанным хостом почти так же, как если бы они взяли его на себя физически. Исследователи также обнаружили, что SectopRAT может довольно быстро и легко изменить адрес сервера C & C (Command & Control). SectopRAT имеет несколько других возможностей:
- Соберите информацию о зараженной машине.
- Отключиться от скомпрометированной системы.
- Self-обновления.
Авторы SectopRAT все еще тестируют воды
Эксперты обнаружили несколько различных вариантов SectopRAT, которые были загружены в службы сканирования, предназначенные для обнаружения вредоносных программ. Исследователи предполагают, что это могут делать авторы SectopRAT. Это означает, что на данный момент злоумышленники, похоже, опускают палец в воду и проверяют, будет ли их угроза обнаружена сканером безопасности. Среди обнаруженных образцов был вариант SectopRAT, который был замаскирован под Adobe Flash Player. Это наводит нас на мысль, что SectopRAT может распространяться как поддельная копия Adobe Flash Player или как обновление приложения.
Будьте особенно осторожны при просмотре веб-страниц и избегайте сомнительных веб-сайтов, на которых может размещаться сомнительный контент, поскольку именно на это и рассчитывают многие кибер-преступники при распространении вредоносного ПО. Кроме того, вы должны загрузить и установить надежное антивирусное приложение, которое обеспечит безопасность вашей системы.
