Sicherheitsforscher haben einen neuen Remote Access Trojan (RAT) für Windows namens T-RAT entdeckt, der in russischsprachigen Hackerforen für 45 Dollar zum Verkauf angeboten wird. Sein Alleinstellungsmerkmal ist die Möglichkeit, die Schadsoftware über einen Telegram-Channel statt einer webbasierten Administratoroberfläche zu steuern.
Der Telegram-Channel des Trojaners soll 98 Befehle unterstützen, die über das Chat-Fenster eingegeben werden. Die Schadsoftware stiehlt anschließend Passwörter und Cookies aus Browsern, durchsucht das Dateisystem eines infizierten Rechners und sucht nach vertraulichen Informationen oder installiert einen Keylogger. Darüber hinaus kann T-RAT das Mikrofon aktivieren und Audioaufzeichnungen starten, Screenshots anfertigen, mit einer Webcam Fotos aufnehmen und Inhalte aus der Zwischenablage abrufen.
Bestimmte Inhalte der Zwischenablage kann der Trojaner zudem manipulieren. Die Hintermänner nutzen diese Funktion, um Strings von Adressen von Kryptowährungen zu verändern, um Transaktionen mit digitalen Währungen umzuleiten. Betroffen sind Bezahllösungen wie Qiwi, WMR, WMZ, WME, WMX, Yandex Money, Payerr, CC, BTC, BTCG, Ripple, Dogecoin und Tron.
T-RAT ist außerdem in der Lage, per Befehlszeile den Zugang zu bestimmten Websites zu blockieren, um Nutzer beispielsweise daran zu hindern, Support-Seiten aufzurufen. Der Trojaner beendet bei Bedarf aber auch Prozesse von Sicherheitsanwendungen oder deaktiviert die Taskleiste und den Taskmanager. Als sekundärer Kommunikationskanal stehen zudem RDP oder VNC zur Verfügung.
Analysiert wurde der Trojaner vom Sicherheitsforscher Karsten Hahn vom Bochumer Softwarehaus G Data. Im Gespräch mit ZDNet.com betonte er, dass T-RAT nicht der erste Remote Access Trojan sei, der Telegram als Kommunikationskanal nutze. Weitere Beispiele sind demnach RATAttack aus dem Jahr 2017, HeroRAT, der Android-Geräte ins Visier nimmt, sowie RAT-via-Telegram und Telegram-RAT, die beide auf GitHub erhältlich und auf Windows ausgerichtet seien.
Bisher ist die Verbreitung von T-RAT der Analyse zufolge noch gering. Hahn geht jedoch davon aus, dass der Trojaner künftig mehr Opfer finden wird. Regelmäßig würde neue Muster von T-RAT beispielsweise auf VirusTotal hochgeladen. „Ich gehe davon aus, dass er aktiv verbreitet wird, habe aber keine weiteren Belege dafür“, so der Forscher.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…