SectopRAT
Cybersecurity-experter har avslöjat en helt ny RAT (Remote Access Trojan) som heter SectopRAT. När de dissekerade hotet blev det tydligt att dess författare fortfarande arbetar med det. Olika funktioner fungerar inte och flera moduler verkar vara långt ifrån kompletta.
Innehållsförteckning
Lanserar ett sekundärt skrivbord
Trots att det är ett projekt som ännu inte är klart, har SectopRAT en mycket intressant funktion. Detta hot kan starta en ytterligare process som heter 'explorer.exe' som kommer att döljas från offret. Denna process startar ett andra skrivbord som användaren inte kan se, men angriparna kan arbeta fritt. Det andra skrivbordet gör att författarna till SectopRAT kan gå igenom offerets filer, surfa på Internet och ändra olika inställningar och konfigurationer på den komprometterade värden. Angriparna kan också starta en ny webbläsarinstans. Men om offren har ställt in sin webbläsare manuellt, istället för att använda standardinstallationsinställningarna, kanske SectopRAT inte kan fungera. Detta beror på att angriparna har använt hårkodade kataloger för att köra webbläsaren (oavsett om det är Google Chrome, Mozilla Firefox eller Internet Explorer).
Övriga förmågor
Förutom de funktioner som anges ovan kan SectopRAT också använda markören och starta en tangentbordsmodul. Detta innebär att attackernas kontroll nästan är obegränsad och de kan driva den komprometterade värden nästan som om de har tagit över den fysiskt. Forskare upptäckte också att SectopRAT kunde ändra adressen på C&C (Command & Control) -servern ganska snabbt och enkelt. SectopRAT har flera andra funktioner:
- Samla information om den infekterade maskinen.
- Koppla från det komprometterade systemet.
- Själv uppdateringen.
Författarna till SectopRAT testar fortfarande vattnen
Experter har upptäckt några olika varianter av SectopRAT som har laddats upp till skanningstjänster som är avsedda att upptäcka skadlig programvara. Forskare spekulerar i att detta kan göra författarna till SectopRAT. Detta betyder att angriparna för tillfället verkar doppa tån i vattnet och testa om deras hot kommer att upptäckas av en säkerhetsskanner. Bland de upptäckta proverna var en variant av SectopRAT, som förkläddes som en Adobe Flash Player. Detta får oss att tro att SectopRAT kan spridas som en falsk kopia av Adobe Flash Player eller en uppdatering för applikationen.
Var särskilt försiktig när du surfar på webben och undvik skuggiga webbplatser som kan vara värd för tvivelaktigt innehåll, eftersom det är detta som många cyberkrokar litar på för att sprida skadlig programvara. Dessutom bör du ladda ner och installera en ansedd anti-malware applikation som kommer att hålla ditt system säkert.
