för Zero Day
| November 21, 2019 — 15:00 GMT (15:00 GMT)
| Ämne: Säkerhet
Ny variant av trojan malware sätter din personliga information på risk
NanoCore RÅTTA kan stjäla lösenord, betalningsuppgifter, och i hemlighet spela in ljud och video för Windows-användare.
En ny Trojan, SectopRAT, har dykt upp i det vilda som har möjlighet att starta en dolda sekundära skrivbordet för att styra webbläsaren sessioner på infekterade datorer.
Den nya skadliga program upptäcktes av MalwareHunterTeam. I en tweet den 15 November, MalwareHunterTeam sa den C# – malware, som sammanställts på 13 November, var att “skapa [a] hidden skrivbord och köra [a] valda webbläsaren med full kontroll.”
Detta uppmärksammades av cybersäkerhet forskare från G Data, som kunde få ett andra prov, sammanställt den 14 November, senare in till Virustotal.
Den första SectopRAT prov är undertecknat av Sectigo RSA kodsignering CA och använder en Flash-ikonen, medan den andra är inte inloggad. Både prover av Remote Access-Trojaner (RÅTTA) använda godtyckliga tecken i sitt namn, måste skriva/utföra egenskaper, och använda sig av ConfuserEx för mörkläggning.
Enligt forskarna, malware innehåller en RemoteClient.Config klass med fyra värdesaker för konfiguration — IP, retip, filnamn, och mutexName.
IP-variabeln avser den Trojanska kommando-och-kontroll (C2) server, medan retip variabel har konstruerats för att ställa upp nya C2 IPs att servern kan åsidosätta hjälp av “set IP” – kommandot.
Se även: Asruex Trojan som utnyttjar gamla Office, Adobe buggar till bakdörr ditt system
Filnamn och mutexName, dock är inställda, men inte i aktiv användning.
Hårdkodad filnamn spoolsvc.exe läggas till i registret för uthållighet, en härmning av legitimt Microsoft-tjänst spoolsv.exe.
När den är ansluten med sin C2, Trojan kan få befallning att antingen streama ett active desktop session eller skapa en sekundär en, hårdkodad som “sdfsddfg”, som är dolda. Forskarna säger att operatörer av skadliga program kan använda “Init browser” – kommando för att initiera en webbläsarsession genom den sekundära stationära.
CNET: Facebook, Google ‘övervakning’ hotar de mänskliga rättigheterna, Amnesty International säger
Chrome, Firefox eller Internet Explorer sessioner kan lanseras. Malware är också möjlighet att ändra webbläsarkonfiguration för att inaktivera säkerhet hinder och sandlådor. Dock webbläsaren vägar är hårdkodade och inte använda miljövariabler.
Malware är också möjligt att skicka data-information tillbaka till C2, till exempel namnet på den operativsystem, processor data, grundläggande information och RAM-minne tillgängligt.
TechRepublic: Hur kan du skydda dig mot hackare? En IBM social ingenjör erbjuder rådgivning
Ett annat kommando, “Få codec info” är ännu inte genomförts. Forskarna tror att den Trojanska är ännu inte komplett, eftersom SectopRAT “ser ofärdiga och i delar hastigt gjort.”
“Trots de uppenbara brister som att använda hårdkodad vägar utan miljövariabler att få tillgång till systemet filer, RÅTTA arkitektur, användning av en andra skrivbordet och förändringar i webbläsarens konfiguration filer och parametrar visa några inre kunskap som är långt från en gröngöling,” forskarna säger. “Det är mycket möjligt att den första prov i det vilda är endast för testning.”
Indikatorer för Kompromiss (IoCs) kan nås här.
Tidigare och relaterade täckning
När man inte är tillräckligt: Detta skumma skadlig kod kommer att infektera din DATOR med dubbla Trojaner
Denna gamla trojan malware är tillbaka med ett nytt trick för att hjälpa den att gömma sig i vanligt sikte
Magecart grupp med koppling till Dridex bank Trojan, Carbanak
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| November 21, 2019 — 15:00 GMT (15:00 GMT)
| Ämne: Säkerhet