voor Zero Day
| 21 November 2019 — 15:00 GMT (15:00 GMT)
| Onderwerp: Security
De nieuwe variant van de trojan malware zet uw persoonlijke gegevens in gevaar
NanoCore RAT kan stelen van wachtwoorden, betalingsgegevens, en in het geheim opnemen van audio en video van Windows-gebruikers.
Een nieuwe Trojan, SectopRAT, is verschenen in het wild, die in staat is tot het starten van een verborgen secundaire bureaublad te besturen browser sessies op geïnfecteerde machines.
De nieuwe malware werd voor het eerst gespot door MalwareHunterTeam. In een tweet op 15 November, MalwareHunterTeam zei de C# – malware, samengesteld op 13 November, was in staat om “create [a] verborgen bureaublad en run [a] geselecteerd browser met volledige controle.”
Dit trok de aandacht van cybersecurity onderzoekers van G Data, die in staat waren om het verkrijgen van een tweede monster, samengesteld op 14 November, later ingediend bij Virustotal.
De eerste SectopRAT monster is getekend door Sectigo RSA-Code Ondertekening CA en maakt gebruik van een Flash-pictogram, terwijl de tweede is niet ondertekend. Beide monsters van de Remote Access Trojan (RAT) gebruik van willekeurige tekens in hun namen, schrijven/uitvoeren van de kenmerken en het gebruik maken van ConfuserEx voor verduistering.
Volgens de onderzoekers, de malware bevat een RemoteClient.Config klasse met vier waardevolle spullen voor de configuratie — IP, retip, bestandsnaam, en mutexName.
Het IP-variabele betreft de Trojan de command-and-control (C2) – server, terwijl de retip variabele is ontworpen om nieuwe C2 ip ‘ s die de server kan overschrijven met behulp van het “IP” – commando.
Zie ook: Asruex Trojan exploits oude Office, Adobe bugs achterdeur uw systeem
Bestandsnaam en mutexName, echter, zijn ingesteld, maar niet actief in gebruik.
De hard gecodeerde bestandsnaam spoolsvc.exe wordt toegevoegd aan het register voor persistentie, een nabootsing van de legitieme Microsoft-service spoolsv.exe.
Eenmaal verbonden met de C2, de Trojan kan worden geboden om ofwel de muziek van een active desktop sessie of het maken van een school voor voortgezet onderwijs, hardcoded als “sdfsddfg,” die is verborgen uit het zicht. De onderzoekers zeggen dat de exploitanten van de malware in staat zijn om de “Init browser” commando start een browsersessie door de secundaire bureaublad.
CNET: Facebook, Google ‘surveillance’ dreigt de rechten van de mens, Amnesty International zegt
Chrome, Firefox of Internet Explorer-browser sessies kunnen worden gelanceerd. De malware is ook in staat om te veranderen van browser-instellingen uitschakelen beveiliging belemmeringen en zandbakken. Echter, de browser paden zijn hardcoded en maken geen gebruik van omgevingsvariabelen.
De malware is ook in staat om het verzenden van informatie over de computer terug naar de C2 is, zoals de naam van het besturingssysteem, de processor gegevens, essentiële informatie en RAM-geheugen beschikbaar.
TechRepublic: Hoe kun je jezelf beschermen tegen hackers? Een IBM social engineer biedt advies
Een andere opdracht: “Voor codec info” is nog te worden uitgevoerd. Het team is van mening dat de Trojan is nog niet compleet, als SectopRAT “ziet er onafgewerkt, en in delen haastig gedaan.”
“Ondanks de duidelijke gebreken zoals het gebruik van hardcoded paden zonder milieu-variabelen om toegang te krijgen tot systeembestanden, de RAT, de architectuur, het gebruik van een tweede desktop en wijzigingen in de configuratie van de browser bestanden en parameters tonen enkele interne kennis die is verre van een groentje,” zeggen de onderzoekers. “Het is heel goed mogelijk dat de eerste exemplaren in het wild alleen voor het testen.”
Indicatoren van het Compromis (IoCs) vindt u hier.
Vorige en aanverwante dekking
Wanneer een niet genoeg is: Deze schaduwrijke malware te infecteren uw PC met dual Trojaanse paarden
Deze oude trojan malware is terug met een nieuwe truc om het te helpen in het volle zicht verbergen
Magecart groep gekoppeld aan Dridex banking Trojan, Carbanak
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 21 November 2019 — 15:00 GMT (15:00 GMT)
| Onderwerp: Security