Ein neuer Trojaner für Windows namens SectopRAT ist derzeit in Umlauf, der einen ungewöhnlichen Weg geht, um Browsersitzungen auf infizierten Systemen zu kontrollieren: Er startet einen zweiten, versteckten Desktop.
Im Gegensatz zum ersten Muster ist das zweite Sample nicht digital signiert. Beide haben jedoch zufällige Zeichen in ihren Namen. Außerdem nutzen sie ein ConfuserEx genanntes Tool, um sich zu tarnen.
Der Trojaner richtet sich in der Windows Registry ein, um stets zusammen mit dem Betriebssystem gestartet zu werden. Der verwendete Prozessnamen „spoolsvc.exe“ soll den legitimen Namen der Druckwarteschlange spoolsv.exe nachahmen.
Sobald er eine Verbindung zu seinem Befehlsserver im Internet hergestellt hat, wird er entweder angewiesen, die aktive Desktopsitzung zu übertragen oder einen zweiten verdeckten Desktop einzurichten. Die Hintermänner sind danach in der Lage, über den Befehl „init browser“ eine Browsersitzung auf dem zweiten Desktop zu starten, und zwar mit Chrome, Firefox oder Internet Explorer. Des Weiteren kann der Trojaner die Konfiguration der Browser ändern, um Sicherheitsfunktionen wie die Sandbox abzuschalten.
Die Pfade zu den Browsern sind jedoch fest vorgegeben. Umgebungsvariablen kommen nicht zu Einsatz – ein System mit vom Standard abweichenden Systempfaden kann unter Umständen nicht auf der Ferne kontrolliert werden.
Die Forscher gehen davon aus, dass die Entwicklung von SectopRAT noch nicht abgeschlossen ist. Die Malware wirke „unfertig und übereilt zusammengestellt“. „Trotz offensichtlicher Mängel wie der Verwendung von hartkodierten Pfaden ohne Umgebungsvariablen für den Zugriff auf Systemdateien, zeigen die Architektur des RAT, die Verwendung eines zweiten Desktops und Änderungen an Browser-Konfigurationsdateien und -Parametern ein internes Wissen, das weit entfernt von einem Greenhorn ist“, sagten die Forscher. „Es ist durchaus möglich, dass die ersten Muster im Umlauf nur zum Testen dienen.“
In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…
Darunter ist ein weiterer Sandbox-Escape. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und…
Sie steigt auf 8 Prozent Wachstum in diesem Jahr. Der Bereich IT-Services wächst in diesem…
