Categories: SicherheitVirus

Hacker kontrollieren Windows-Trojaner per Telegram-Channel

Sicherheitsforscher haben einen neuen Remote Access Trojan (RAT) für Windows namens T-RAT entdeckt, der in russischsprachigen Hackerforen für 45 Dollar zum Verkauf angeboten wird. Sein Alleinstellungsmerkmal ist die Möglichkeit, die Schadsoftware über einen Telegram-Channel statt einer webbasierten Administratoroberfläche zu steuern.

Der Entwickler behauptet, dass Käufer auf diese Art einen schnelleren und einfacheren Zugriff auf infizierte Computer erhalten. Das soll es ihnen erlauben, die Funktionen zum Diebstahl von Daten bereits unmittelbar nach einer Infektion zu aktivieren – und damit vor einer möglichen Erkennung der Malware durch das Opfer.

Der Telegram-Channel des Trojaners soll 98 Befehle unterstützen, die über das Chat-Fenster eingegeben werden. Die Schadsoftware stiehlt anschließend Passwörter und Cookies aus Browsern, durchsucht das Dateisystem eines infizierten Rechners und sucht nach vertraulichen Informationen oder installiert einen Keylogger. Darüber hinaus kann T-RAT das Mikrofon aktivieren und Audioaufzeichnungen starten, Screenshots anfertigen, mit einer Webcam Fotos aufnehmen und Inhalte aus der Zwischenablage abrufen.

Bestimmte Inhalte der Zwischenablage kann der Trojaner zudem manipulieren. Die Hintermänner nutzen diese Funktion, um Strings von Adressen von Kryptowährungen zu verändern, um Transaktionen mit digitalen Währungen umzuleiten. Betroffen sind Bezahllösungen wie Qiwi, WMR, WMZ, WME, WMX, Yandex Money, Payerr, CC, BTC, BTCG, Ripple, Dogecoin und Tron.

T-RAT ist außerdem in der Lage, per Befehlszeile den Zugang zu bestimmten Websites zu blockieren, um Nutzer beispielsweise daran zu hindern, Support-Seiten aufzurufen. Der Trojaner beendet bei Bedarf aber auch Prozesse von Sicherheitsanwendungen oder deaktiviert die Taskleiste und den Taskmanager. Als sekundärer Kommunikationskanal stehen zudem RDP oder VNC zur Verfügung.

Analysiert wurde der Trojaner vom Sicherheitsforscher Karsten Hahn vom Bochumer Softwarehaus G Data. Im Gespräch mit ZDNet.com betonte er, dass T-RAT nicht der erste Remote Access Trojan sei, der Telegram als Kommunikationskanal nutze. Weitere Beispiele sind demnach RATAttack aus dem Jahr 2017, HeroRAT, der Android-Geräte ins Visier nimmt, sowie RAT-via-Telegram und Telegram-RAT, die beide auf GitHub erhältlich und auf Windows ausgerichtet seien.

Bisher ist die Verbreitung von T-RAT der Analyse zufolge noch gering. Hahn geht jedoch davon aus, dass der Trojaner künftig mehr Opfer finden wird. Regelmäßig würde neue Muster von T-RAT beispielsweise auf VirusTotal hochgeladen. „Ich gehe davon aus, dass er aktiv verbreitet wird, habe aber keine weiteren Belege dafür“, so der Forscher.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

23 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

23 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago