Hacker kontrollieren Windows-Trojaner per Telegram-Channel

T-RAT erhält per Telegram 98 unterschiedliche Befehle. Sie erlauben es der Malware, umfangreiche Daten zu stehlen und sogar Mikrofon und Webcam zu aktivieren. Der Trojaner kapert aber auch Transaktionen mit Kryptowährungen.

Sicherheitsforscher haben einen neuen Remote Access Trojan (RAT) für Windows namens T-RAT entdeckt, der in russischsprachigen Hackerforen für 45 Dollar zum Verkauf angeboten wird. Sein Alleinstellungsmerkmal ist die Möglichkeit, die Schadsoftware über einen Telegram-Channel statt einer webbasierten Administratoroberfläche zu steuern.

Malware (Bild: Maksim Kabakou/Shutterstock)Der Entwickler behauptet, dass Käufer auf diese Art einen schnelleren und einfacheren Zugriff auf infizierte Computer erhalten. Das soll es ihnen erlauben, die Funktionen zum Diebstahl von Daten bereits unmittelbar nach einer Infektion zu aktivieren – und damit vor einer möglichen Erkennung der Malware durch das Opfer.

Der Telegram-Channel des Trojaners soll 98 Befehle unterstützen, die über das Chat-Fenster eingegeben werden. Die Schadsoftware stiehlt anschließend Passwörter und Cookies aus Browsern, durchsucht das Dateisystem eines infizierten Rechners und sucht nach vertraulichen Informationen oder installiert einen Keylogger. Darüber hinaus kann T-RAT das Mikrofon aktivieren und Audioaufzeichnungen starten, Screenshots anfertigen, mit einer Webcam Fotos aufnehmen und Inhalte aus der Zwischenablage abrufen.

Bestimmte Inhalte der Zwischenablage kann der Trojaner zudem manipulieren. Die Hintermänner nutzen diese Funktion, um Strings von Adressen von Kryptowährungen zu verändern, um Transaktionen mit digitalen Währungen umzuleiten. Betroffen sind Bezahllösungen wie Qiwi, WMR, WMZ, WME, WMX, Yandex Money, Payerr, CC, BTC, BTCG, Ripple, Dogecoin und Tron.

T-RAT ist außerdem in der Lage, per Befehlszeile den Zugang zu bestimmten Websites zu blockieren, um Nutzer beispielsweise daran zu hindern, Support-Seiten aufzurufen. Der Trojaner beendet bei Bedarf aber auch Prozesse von Sicherheitsanwendungen oder deaktiviert die Taskleiste und den Taskmanager. Als sekundärer Kommunikationskanal stehen zudem RDP oder VNC zur Verfügung.

Analysiert wurde der Trojaner vom Sicherheitsforscher Karsten Hahn vom Bochumer Softwarehaus G Data. Im Gespräch mit ZDNet.com betonte er, dass T-RAT nicht der erste Remote Access Trojan sei, der Telegram als Kommunikationskanal nutze. Weitere Beispiele sind demnach RATAttack aus dem Jahr 2017, HeroRAT, der Android-Geräte ins Visier nimmt, sowie RAT-via-Telegram und Telegram-RAT, die beide auf GitHub erhältlich und auf Windows ausgerichtet seien.

Bisher ist die Verbreitung von T-RAT der Analyse zufolge noch gering. Hahn geht jedoch davon aus, dass der Trojaner künftig mehr Opfer finden wird. Regelmäßig würde neue Muster von T-RAT beispielsweise auf VirusTotal hochgeladen. „Ich gehe davon aus, dass er aktiv verbreitet wird, habe aber keine weiteren Belege dafür“, so der Forscher.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: G DATA, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hacker kontrollieren Windows-Trojaner per Telegram-Channel

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *