Sicherheitsforscher haben einen neuen Remote Access Trojan (RAT) für Windows namens T-RAT entdeckt, der in russischsprachigen Hackerforen für 45 Dollar zum Verkauf angeboten wird. Sein Alleinstellungsmerkmal ist die Möglichkeit, die Schadsoftware über einen Telegram-Channel statt einer webbasierten Administratoroberfläche zu steuern.
Der Telegram-Channel des Trojaners soll 98 Befehle unterstützen, die über das Chat-Fenster eingegeben werden. Die Schadsoftware stiehlt anschließend Passwörter und Cookies aus Browsern, durchsucht das Dateisystem eines infizierten Rechners und sucht nach vertraulichen Informationen oder installiert einen Keylogger. Darüber hinaus kann T-RAT das Mikrofon aktivieren und Audioaufzeichnungen starten, Screenshots anfertigen, mit einer Webcam Fotos aufnehmen und Inhalte aus der Zwischenablage abrufen.
Bestimmte Inhalte der Zwischenablage kann der Trojaner zudem manipulieren. Die Hintermänner nutzen diese Funktion, um Strings von Adressen von Kryptowährungen zu verändern, um Transaktionen mit digitalen Währungen umzuleiten. Betroffen sind Bezahllösungen wie Qiwi, WMR, WMZ, WME, WMX, Yandex Money, Payerr, CC, BTC, BTCG, Ripple, Dogecoin und Tron.
T-RAT ist außerdem in der Lage, per Befehlszeile den Zugang zu bestimmten Websites zu blockieren, um Nutzer beispielsweise daran zu hindern, Support-Seiten aufzurufen. Der Trojaner beendet bei Bedarf aber auch Prozesse von Sicherheitsanwendungen oder deaktiviert die Taskleiste und den Taskmanager. Als sekundärer Kommunikationskanal stehen zudem RDP oder VNC zur Verfügung.
Analysiert wurde der Trojaner vom Sicherheitsforscher Karsten Hahn vom Bochumer Softwarehaus G Data. Im Gespräch mit ZDNet.com betonte er, dass T-RAT nicht der erste Remote Access Trojan sei, der Telegram als Kommunikationskanal nutze. Weitere Beispiele sind demnach RATAttack aus dem Jahr 2017, HeroRAT, der Android-Geräte ins Visier nimmt, sowie RAT-via-Telegram und Telegram-RAT, die beide auf GitHub erhältlich und auf Windows ausgerichtet seien.
Bisher ist die Verbreitung von T-RAT der Analyse zufolge noch gering. Hahn geht jedoch davon aus, dass der Trojaner künftig mehr Opfer finden wird. Regelmäßig würde neue Muster von T-RAT beispielsweise auf VirusTotal hochgeladen. „Ich gehe davon aus, dass er aktiv verbreitet wird, habe aber keine weiteren Belege dafür“, so der Forscher.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…