Ein neuer Trojaner für Windows namens SectopRAT ist derzeit in Umlauf, der einen ungewöhnlichen Weg geht, um Browsersitzungen auf infizierten Systemen zu kontrollieren: Er startet einen zweiten, versteckten Desktop.
Im Gegensatz zum ersten Muster ist das zweite Sample nicht digital signiert. Beide haben jedoch zufällige Zeichen in ihren Namen. Außerdem nutzen sie ein ConfuserEx genanntes Tool, um sich zu tarnen.
Der Trojaner richtet sich in der Windows Registry ein, um stets zusammen mit dem Betriebssystem gestartet zu werden. Der verwendete Prozessnamen „spoolsvc.exe“ soll den legitimen Namen der Druckwarteschlange spoolsv.exe nachahmen.
Sobald er eine Verbindung zu seinem Befehlsserver im Internet hergestellt hat, wird er entweder angewiesen, die aktive Desktopsitzung zu übertragen oder einen zweiten verdeckten Desktop einzurichten. Die Hintermänner sind danach in der Lage, über den Befehl „init browser“ eine Browsersitzung auf dem zweiten Desktop zu starten, und zwar mit Chrome, Firefox oder Internet Explorer. Des Weiteren kann der Trojaner die Konfiguration der Browser ändern, um Sicherheitsfunktionen wie die Sandbox abzuschalten.
Die Pfade zu den Browsern sind jedoch fest vorgegeben. Umgebungsvariablen kommen nicht zu Einsatz – ein System mit vom Standard abweichenden Systempfaden kann unter Umständen nicht auf der Ferne kontrolliert werden.
Die Forscher gehen davon aus, dass die Entwicklung von SectopRAT noch nicht abgeschlossen ist. Die Malware wirke „unfertig und übereilt zusammengestellt“. „Trotz offensichtlicher Mängel wie der Verwendung von hartkodierten Pfaden ohne Umgebungsvariablen für den Zugriff auf Systemdateien, zeigen die Architektur des RAT, die Verwendung eines zweiten Desktops und Änderungen an Browser-Konfigurationsdateien und -Parametern ein internes Wissen, das weit entfernt von einem Greenhorn ist“, sagten die Forscher. „Es ist durchaus möglich, dass die ersten Muster im Umlauf nur zum Testen dienen.“
In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
