Categories: SicherheitVirus

SectopRAT: Trojaner kontrolliert Browser über versteckten zweiten Desktop

Ein neuer Trojaner für Windows namens SectopRAT ist derzeit in Umlauf, der einen ungewöhnlichen Weg geht, um Browsersitzungen auf infizierten Systemen zu kontrollieren: Er startet einen zweiten, versteckten Desktop.

Erstmals erwähnt wurde die Schadsoftware vom MalwareHunterTeam am 15. November in einem Tweet. Die in C# geschriebene Malware wurde demnach am 13. November kompiliert. Forscher des deutschen Sicherheitsanbieters GData fanden daraufhin ein zweites Muster von SectopRAT, das am 14. November kompiliert und danach bei Virustotal eingereicht wurde.

Im Gegensatz zum ersten Muster ist das zweite Sample nicht digital signiert. Beide haben jedoch zufällige Zeichen in ihren Namen. Außerdem nutzen sie ein ConfuserEx genanntes Tool, um sich zu tarnen.

Der Trojaner richtet sich in der Windows Registry ein, um stets zusammen mit dem Betriebssystem gestartet zu werden. Der verwendete Prozessnamen „spoolsvc.exe“ soll den legitimen Namen der Druckwarteschlange spoolsv.exe nachahmen.

Sobald er eine Verbindung zu seinem Befehlsserver im Internet hergestellt hat, wird er entweder angewiesen, die aktive Desktopsitzung zu übertragen oder einen zweiten verdeckten Desktop einzurichten. Die Hintermänner sind danach in der Lage, über den Befehl „init browser“ eine Browsersitzung auf dem zweiten Desktop zu starten, und zwar mit Chrome, Firefox oder Internet Explorer. Des Weiteren kann der Trojaner die Konfiguration der Browser ändern, um Sicherheitsfunktionen wie die Sandbox abzuschalten.

Die Pfade zu den Browsern sind jedoch fest vorgegeben. Umgebungsvariablen kommen nicht zu Einsatz – ein System mit vom Standard abweichenden Systempfaden kann unter Umständen nicht auf der Ferne kontrolliert werden.

Die Forscher gehen davon aus, dass die Entwicklung von SectopRAT noch nicht abgeschlossen ist. Die Malware wirke „unfertig und übereilt zusammengestellt“. „Trotz offensichtlicher Mängel wie der Verwendung von hartkodierten Pfaden ohne Umgebungsvariablen für den Zugriff auf Systemdateien, zeigen die Architektur des RAT, die Verwendung eines zweiten Desktops und Änderungen an Browser-Konfigurationsdateien und -Parametern ein internes Wissen, das weit entfernt von einem Greenhorn ist“, sagten die Forscher. „Es ist durchaus möglich, dass die ersten Muster im Umlauf nur zum Testen dienen.“

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Weihnachts-Rabatt: Saugroboter ab 200 Euro im Angebot

Gearbest bietet den 360 S7 aktuell für knapp 337 Euro an. Der Roborock S5 Max, der über eine verbesserte Wischfunktion…

4 Tagen ago

HPE Discover More 2019 in München

Vor rund zwei Jahren verkündete HPE seine neue Strategie, alle Hardwareprodukte in einigen Jahren auch On Premises as-a-Service anzubieten. Auf…

4 Tagen ago

5G-Ausbau: Telefónica setzt auf Huawei und Nokia

Die Zusammenarbeit mit Huawei und Nokia beim Aufbau eines 5G-Netzes ist allerdings abhängig von einer erfolgreichen Sicherheits-Zertifizierung der Technologie und…

4 Tagen ago

Patchday: Microsoft schließt Zero-Day-Lücke in Windows

Der Patch Tuesday vom Dezember 2019 behebt 36 Schwachstellen, von denen sieben als "kritisch" eingestuft werden. KB4530684 hebt die Build-Nummer…

4 Tagen ago

Chrome 79 integriert Überprüfung von Passwörtern

Außerdem bietet die neue Chrome-Version weitere Funktionen zur Verbesserung der Sicherheit. Dazu zählt etwa ein Echtzeit-Blacklisting bösartiger Websites.

5 Tagen ago

Galaxy S7 und Galaxy S7 Edge: November-Patch wird ausgeliefert

Das Update steht allerdings nur für bestimmte Geräte zur Verfügung. Hierbei handelt es sich um die in der DACH-Region vertriebenen…

5 Tagen ago