SectopRAT: Neuer Trojaner im Umlauf
November 25, 2019 10:02 am
SectopRAT ermöglicht Fernzugriff über zweiten Desktop
Der noch sehr neue Trojaner “SectopRAT” gestattet Angreifern den Fernzugriff auf Browsersitzungen. Details zu SectopRAT und Tipps zum Schutz gibt es in diesem Artikel.
Was macht SectopRAT?
Bei SectopRAT handelt es sich um einen Trojaner, der versteckt im Hintergrund Informationen übermittelt und Fernzugriff ermöglicht.
Um sich zu verbergen, nistet sich der Schädling in der Windows Registry ein, um zusammen mit dem Betriebssystem gestartet zu werden. Dabei wird der Prozessname “spoolsvc.exe” verwendet. Dieser soll bewirken, dass Nutzer ihn mit dem Prozessnamen der Druckerwarteschlange (spoolsv.exe) verwechseln.
Nachdem sich SectopRAT mit seinem Befehlsserver (Command and Control Server) im Internet verbunden hat, kann ihm entweder der Befehl zum Übertragen des Desktops gesendet werden oder gar ein zweiter, versteckter Desktop eingerichtet werden. Auf diesem versteckten Desktop können die Angreifer dann per Befehl eine Browsersitzung mit Chrome, Internet Explorer oder Firefox starten. Dabei können ebenfalls Konfigurationen der Browser geändert werden, um beispielsweise Sicherheitsfunktionen oder Grafikeinstellungen zu deaktivieren.
SectopRAT erst mal nur ein Test?
Erstmals erwähnt wurde SectopRAT vom MalwareHunterTeam am 15. November auf Twitter. Sie hatten eine Version des Trojaners entdeckt, die am 13. November erstellt worden war.
Nach diesem Tweet machten sich auch Sicherheitsforscher von GData auf die Suche. Dabei fanden sie ein zweites Muster des Schädlings, welches offenbar am 14. November kompiliert worden war und reichten dieses beim Online-Malware-Scan-Service Virustotal ein.
Die Sicherheitsforscher fanden neben den zuvor erwähnten Features auch die Möglichkeiten zum Einsatz weiterer Funktionen, die noch nicht genutzt werden. Darüber hinaus wirken viele Komponenten des Schädlings noch sehr unfertig und übereilt zusammengestellt. Beispielsweise verfügt SectopRAT bis jetzt nur über hardkodierte (also festgelegte) Pfade zum Zugriff auf Browser. Sind die Browser in anderen als den Standardverzeichnissen installiert, wird SectopRAT sie in seiner jetzigen Version nicht finden.
Die Struktur und Funktionsweise des Schädlings lässt die Sicherheitsexperten von GData allerdings auf ein durchaus fähiges Entwicklerteam hinter SectopRAT schließen. Für die Zukunft sind – laut Einschätzungen – durchaus weitere, komplexere Varianten des Trojaners zu erwarten.
Vorsorge als Schutz
Um sich zuverlässig auch vor neuen Bedrohungen aus dem Netz schützen zu können, ist eine professionelle Sicherheitslösung unumgänglich.
- Professionelle Antivirus-Software
Mit der richtigen AV-Software wird gewährleistet, dass Malware und andere gefährliche Dateien erkannt und unschädlich gemacht werden. - Angemessene Firewall
Mit einer Firewall kann die Kommunikation zwischen Ihrem Netzwerk und dem Internet kontrolliert und ungewünschte Zugriffe geblockt werden. - Datensicherung
Mit regelmäßigen Backups können Sie sichergehen, dass auch im Ernstfall ihr Datenverlust so gering wie möglich bleibt. - Status überprüfen
Nutzen Sie unsere kostenlose Sicherheitsanalyse, um Schwachstellen in Ihrem Netzwerk zu finden und diese zu beseitigen.
Hilfe von Kastl & Rieter
- Sie sind von einem Cyberangriff betroffen?
Nehmen Sie unsere Soforthilfe in Anspruch. Wir stehen Ihnen schnellstmöglich zur Seite. - Sie möchten Ihre Unternehmens-IT rundum sichern?
Rufen Sie uns an ( 0221 / 630 6151 60 ) oder schreiben Sie uns via Kontaktformular und vereinbaren Sie einen Beratungstermin! - Sie wünschen sich Schulungen und Workshops zum Thema IT-Sicherheit?
Wir sind für Sie da. Nehmen Sie ganz einfach Kontakt zu uns auf! - Ihnen fehlt noch der richtige Dienstleister, der Ihre Unternehmens-IT betreut?
Unsere Kunden und Partner helfen Ihnen bei der Entscheidung.
Wir freuen uns, Ihnen helfen zu dürfen.
Ihr Kastl & Rieter IT-Service