SectopRAT: Trojaner kontrolliert Browser über versteckten zweiten Desktop

Erstmals entdeckt wird die Malware am 15. November. Forscher von GData stufen den Trojaner als noch unfertig ein. Aber selbst in diesem Zustand verfügt SectopRAT über fortschrittliche Funktionen, die auf einen erfahrenen Malware-Entwickler schließen lassen.

Ein neuer Trojaner für Windows namens SectopRAT ist derzeit in Umlauf, der einen ungewöhnlichen Weg geht, um Browsersitzungen auf infizierten Systemen zu kontrollieren: Er startet einen zweiten, versteckten Desktop.

Malware (Bild: Shutterstock/Blue Island)Erstmals erwähnt wurde die Schadsoftware vom MalwareHunterTeam am 15. November in einem Tweet. Die in C# geschriebene Malware wurde demnach am 13. November kompiliert. Forscher des deutschen Sicherheitsanbieters GData fanden daraufhin ein zweites Muster von SectopRAT, das am 14. November kompiliert und danach bei Virustotal eingereicht wurde.

Im Gegensatz zum ersten Muster ist das zweite Sample nicht digital signiert. Beide haben jedoch zufällige Zeichen in ihren Namen. Außerdem nutzen sie ein ConfuserEx genanntes Tool, um sich zu tarnen.

Der Trojaner richtet sich in der Windows Registry ein, um stets zusammen mit dem Betriebssystem gestartet zu werden. Der verwendete Prozessnamen „spoolsvc.exe“ soll den legitimen Namen der Druckwarteschlange spoolsv.exe nachahmen.

Sobald er eine Verbindung zu seinem Befehlsserver im Internet hergestellt hat, wird er entweder angewiesen, die aktive Desktopsitzung zu übertragen oder einen zweiten verdeckten Desktop einzurichten. Die Hintermänner sind danach in der Lage, über den Befehl „init browser“ eine Browsersitzung auf dem zweiten Desktop zu starten, und zwar mit Chrome, Firefox oder Internet Explorer. Des Weiteren kann der Trojaner die Konfiguration der Browser ändern, um Sicherheitsfunktionen wie die Sandbox abzuschalten.

Die Pfade zu den Browsern sind jedoch fest vorgegeben. Umgebungsvariablen kommen nicht zu Einsatz – ein System mit vom Standard abweichenden Systempfaden kann unter Umständen nicht auf der Ferne kontrolliert werden.

Die Forscher gehen davon aus, dass die Entwicklung von SectopRAT noch nicht abgeschlossen ist. Die Malware wirke „unfertig und übereilt zusammengestellt“. „Trotz offensichtlicher Mängel wie der Verwendung von hartkodierten Pfaden ohne Umgebungsvariablen für den Zugriff auf Systemdateien, zeigen die Architektur des RAT, die Verwendung eines zweiten Desktops und Änderungen an Browser-Konfigurationsdateien und -Parametern ein internes Wissen, das weit entfernt von einem Greenhorn ist“, sagten die Forscher. „Es ist durchaus möglich, dass die ersten Muster im Umlauf nur zum Testen dienen.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Gdata, Malware, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu SectopRAT: Trojaner kontrolliert Browser über versteckten zweiten Desktop

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *