Hacker kontrollieren Windows-Trojaner per Telegram-Channel

Sicherheitsforscher haben einen neuen Remote Access Trojan (RAT) für Windows namens T-RAT entdeckt, der in russischsprachigen Hackerforen für 45 Dollar zum Verkauf angeboten wird. Sein Alleinstellungsmerkmal ist die Möglichkeit, die Schadsoftware über einen Telegram-Channel statt einer webbasierten Administratoroberfläche zu steuern.

Der Entwickler behauptet, dass Käufer auf diese Art einen schnelleren und einfacheren Zugriff auf infizierte Computer erhalten. Das soll es ihnen erlauben, die Funktionen zum Diebstahl von Daten bereits unmittelbar nach einer Infektion zu aktivieren – und damit vor einer möglichen Erkennung der Malware durch das Opfer.

Der Telegram-Channel des Trojaners soll 98 Befehle unterstützen, die über das Chat-Fenster eingegeben werden. Die Schadsoftware stiehlt anschließend Passwörter und Cookies aus Browsern, durchsucht das Dateisystem eines infizierten Rechners und sucht nach vertraulichen Informationen oder installiert einen Keylogger. Darüber hinaus kann T-RAT das Mikrofon aktivieren und Audioaufzeichnungen starten, Screenshots anfertigen, mit einer Webcam Fotos aufnehmen und Inhalte aus der Zwischenablage abrufen.

Bestimmte Inhalte der Zwischenablage kann der Trojaner zudem manipulieren. Die Hintermänner nutzen diese Funktion, um Strings von Adressen von Kryptowährungen zu verändern, um Transaktionen mit digitalen Währungen umzuleiten. Betroffen sind Bezahllösungen wie Qiwi, WMR, WMZ, WME, WMX, Yandex Money, Payerr, CC, BTC, BTCG, Ripple, Dogecoin und Tron.

T-RAT ist außerdem in der Lage, per Befehlszeile den Zugang zu bestimmten Websites zu blockieren, um Nutzer beispielsweise daran zu hindern, Support-Seiten aufzurufen. Der Trojaner beendet bei Bedarf aber auch Prozesse von Sicherheitsanwendungen oder deaktiviert die Taskleiste und den Taskmanager. Als sekundärer Kommunikationskanal stehen zudem RDP oder VNC zur Verfügung.

Analysiert wurde der Trojaner vom Sicherheitsforscher Karsten Hahn vom Bochumer Softwarehaus G Data. Im Gespräch mit ZDNet.com betonte er, dass T-RAT nicht der erste Remote Access Trojan sei, der Telegram als Kommunikationskanal nutze. Weitere Beispiele sind demnach RATAttack aus dem Jahr 2017, HeroRAT, der Android-Geräte ins Visier nimmt, sowie RAT-via-Telegram und Telegram-RAT, die beide auf GitHub erhältlich und auf Windows ausgerichtet seien.

Bisher ist die Verbreitung von T-RAT der Analyse zufolge noch gering. Hahn geht jedoch davon aus, dass der Trojaner künftig mehr Opfer finden wird. Regelmäßig würde neue Muster von T-RAT beispielsweise auf VirusTotal hochgeladen. „Ich gehe davon aus, dass er aktiv verbreitet wird, habe aber keine weiteren Belege dafür“, so der Forscher.