SectopRAT

サイバーセキュリティの専門家は、SectopRATと呼ばれる最新のRAT(リモートアクセストロイの木馬)を発見しました。彼らが脅威を分析したとき、その作者がまだそれに取り組んでいることが明らかになりました。さまざまな機能が動作しておらず、いくつかのモジュールは完全にはほど遠いようです。

セカンダリデスクトップを起動します

ただし、まだ完成していないプロジェクトであるにもかかわらず、SectopRATには非常に興味深い機能があります。この脅威は、犠牲者から隠される「explorer.exe」と呼ばれる追加プロセスを起動する可能性があります。このプロセスにより、ユーザーには見えない2番目のデスクトップが起動しますが、攻撃者は自由に操作できます。 2番目のデスクトップは、SectopRATの作成者が被害者のファイルを閲覧し、インターネットを閲覧し、侵害されたホストのさまざまな設定と構成を変更できるようにします。攻撃者は、新しいブラウザインスタンスを起動することもできます。ただし、デフォルトのインストール設定を使用する代わりに、被害者がWebブラウザを手動でセットアップした場合、SectopRATは動作しない可能性があります。これは、攻撃者がハードコードされたディレクトリを利用してWebブラウザーを実行しているためです(Google Chrome、Mozilla Firefox、Internet Explorerのいずれであっても)。

その他の機能

上記の機能とは別に、SectopRATはカーソルを操作してキーボードモジュールを起動することもできます。これは、攻撃者の制御がほぼ無制限であり、物理的にそれを乗っ取ったかのように、侵害されたホストを操作できることを意味します。研究者はまた、SectopRATがC&C(Command&Control)サーバーのアドレスをかなり迅速かつ簡単に変更できることも発見しました。 SectopRATには、他にもいくつかの機能があります。

  • 感染したマシンに関する情報を収集します。
  • 侵害されたシステムから切断します。
  • 自己更新。

SectopRATの作成者は、まだ水をテストしています

専門家は、マルウェアを検出するためのスキャンサービスにアップロードされたSectopRATのいくつかの異なる亜種を検出しました。研究者は、これがSectopRATの作者の行為であると推測しています。つまり、現時点では、攻撃者はつま先を水に浸し、脅威がセキュリティスキャナーによって検出されるかどうかをテストしているように見えます。検出されたサンプルの中には、Adobe Flash Playerを装ったSectopRATのバリアントがありました。これにより、SectopRATはAdobe Flash Playerの偽のコピーまたはアプリケーションの更新として伝播される可能性があると考えられます。

多くのサイバー詐欺師がマルウェアの拡散に依存しているため、Webを閲覧するときは特に注意し、疑わしいコンテンツをホストしている可能性のある怪しいWebサイトを避けてください。さらに、システムを安全に保つ信頼できるマルウェア対策アプリケーションをダウンロードしてインストールする必要があります。

トレンド

最も見られました

読み込んでいます...