Categories: SicherheitVirus

SectopRAT: Trojaner kontrolliert Browser über versteckten zweiten Desktop

Ein neuer Trojaner für Windows namens SectopRAT ist derzeit in Umlauf, der einen ungewöhnlichen Weg geht, um Browsersitzungen auf infizierten Systemen zu kontrollieren: Er startet einen zweiten, versteckten Desktop.

Erstmals erwähnt wurde die Schadsoftware vom MalwareHunterTeam am 15. November in einem Tweet. Die in C# geschriebene Malware wurde demnach am 13. November kompiliert. Forscher des deutschen Sicherheitsanbieters GData fanden daraufhin ein zweites Muster von SectopRAT, das am 14. November kompiliert und danach bei Virustotal eingereicht wurde.

Im Gegensatz zum ersten Muster ist das zweite Sample nicht digital signiert. Beide haben jedoch zufällige Zeichen in ihren Namen. Außerdem nutzen sie ein ConfuserEx genanntes Tool, um sich zu tarnen.

Der Trojaner richtet sich in der Windows Registry ein, um stets zusammen mit dem Betriebssystem gestartet zu werden. Der verwendete Prozessnamen „spoolsvc.exe“ soll den legitimen Namen der Druckwarteschlange spoolsv.exe nachahmen.

Sobald er eine Verbindung zu seinem Befehlsserver im Internet hergestellt hat, wird er entweder angewiesen, die aktive Desktopsitzung zu übertragen oder einen zweiten verdeckten Desktop einzurichten. Die Hintermänner sind danach in der Lage, über den Befehl „init browser“ eine Browsersitzung auf dem zweiten Desktop zu starten, und zwar mit Chrome, Firefox oder Internet Explorer. Des Weiteren kann der Trojaner die Konfiguration der Browser ändern, um Sicherheitsfunktionen wie die Sandbox abzuschalten.

Die Pfade zu den Browsern sind jedoch fest vorgegeben. Umgebungsvariablen kommen nicht zu Einsatz – ein System mit vom Standard abweichenden Systempfaden kann unter Umständen nicht auf der Ferne kontrolliert werden.

Die Forscher gehen davon aus, dass die Entwicklung von SectopRAT noch nicht abgeschlossen ist. Die Malware wirke „unfertig und übereilt zusammengestellt“. „Trotz offensichtlicher Mängel wie der Verwendung von hartkodierten Pfaden ohne Umgebungsvariablen für den Zugriff auf Systemdateien, zeigen die Architektur des RAT, die Verwendung eines zweiten Desktops und Änderungen an Browser-Konfigurationsdateien und -Parametern ein internes Wissen, das weit entfernt von einem Greenhorn ist“, sagten die Forscher. „Es ist durchaus möglich, dass die ersten Muster im Umlauf nur zum Testen dienen.“

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

iOS 13.3.1: Apple behebt Fehler und schließt Sicherheitslücken

Bugs stecken unter anderem in der Mail-App, in FaceTime und CarPlay. Einige der insgesamt 23 Sicherheitslücken erlauben das Ausführen von…

49 Minuten ago

Huawei Marktführer bei 5G-Smartphones

Laut Strategy Analytics erreicht der Markt für 5G-Smartphones 2019 ein Volumen von 19 Millionen Einheiten. Huawei sichert sich davon einen…

3 Stunden ago

Großbritannien beteiligt Huawei am 5G-Netzaufbau – mit Einschränkungen

Ausrüstung von Huawei ist nur für den Ausbau außerhalb des Kernnetzes erlaubt. Großbritannien schließt Huawei außerdem von militärischen Einrichtungen und…

4 Stunden ago

Galaxy S9 und Galaxy S9+: Update auf Android 10 wird ausgeliefert

Das Update auf die aktuelle Android-Version hat für die freien Modelle mit Produktcode DBT begonnen. Darin enthalten sind auch die…

5 Stunden ago

Gartner: Smartphonemarkt wächst 2020 voraussichtlich um 3 Prozent

Die Absatzzahlen sollen auf 1,57 Milliarden weltweit ansteigen. 2021 rechnen die Marktforscher mit einem Plus von 1,1 Prozent. Das Jahr…

7 Stunden ago

Apple meldet Rekordumsatz im ersten Fiskalquartal

Auch der Gewinn pro Aktie steigt auf einen neuen Höchstwert. Vor allem iPhone 11 und Apple Watch beflügeln Umsatz und…

8 Stunden ago