El nuevo troyano SectopRAT crea un segundo escritorio oculto para controlar las sesiones del navegador


La nueva variante de malware troyano pone en riesgo su información own
NanoCore RAT puede robar contraseñas, detalles de pago y grabar en secreto audio y online video de usuarios de Home windows.

Un nuevo troyano, SectopRAT, ha aparecido en la naturaleza que puede lanzar un escritorio secundario oculto para controlar las sesiones del navegador en máquinas infectadas.

El nuevo malware fue primero visto por MalwareHunterTeam. En un tweet del 15 de noviembre, MalwareHunterTeam dijo que el malware C #, compilado el 13 de noviembre, podía «crear (a) un escritorio oculto y ejecutar (a) un navegador seleccionado allí con control whole».

Esto llamó la atención de los investigadores de ciberseguridad de G Data, que pudieron obtener una segunda muestra, compilada el 14 de noviembre, luego presentada a Virustotal.

screenshot-2019-11-21-at-13-57-44.png

El primer ejemplo de SectopRAT está firmado por Sectigo RSA Code Signing CA y utiliza un icono de Flash, mientras que el segundo no está firmado. Ambas muestras del troyano de acceso remoto (RAT) usan caracteres arbitrarios en sus nombres, tienen características de escritura / ejecución y hacen uso de ConfuserEx para ofuscación.

Según los investigadores, el malware contiene una clase RemoteClient.Config con cuatro valores para la configuración: IP, retip, nombre de archivo y mutexName.

La variable IP se relaciona con el servidor de comando y regulate (C2) del troyano, mientras que la variable retip ha sido diseñada para configurar nuevas direcciones IP C2 que el servidor puede anular mediante el comando «set IP».

Ver también: El troyano Asruex explota la vieja Business, los errores de Adobe para puerta trasera de su sistema

Nombre de archivo y mutexName, sin embargo, están configurados pero no en uso activo.

El nombre de archivo codificado spoolsvc.exe se agrega al registro para persistencia, una imitación del servicio legítimo spoolsv.exe de Microsoft.

Una vez conectado con su C2, se le puede ordenar al troyano que transmita una sesión de escritorio activa o que cree una secundaria, codificada como «sdfsddfg», que está oculta a la vista. Los investigadores dicen que los operadores del malware pueden usar el comando «Iniciar navegador» para iniciar una sesión de navegador a través del escritorio secundario.

CNET: Fb, la &#39vigilancia&#39 de Google amenaza los derechos humanos, dice Amnistía Internacional

Se pueden iniciar sesiones de navegador Chrome, Firefox o Internet Explorer. El malware también puede cambiar las configuraciones del navegador para desactivar las barreras de seguridad y los entornos limitados. Sin embargo, las rutas del navegador están codificadas y no utilizan variables ambientales.

El malware también puede enviar información de la computadora al C2, como el nombre del sistema operativo, los datos del procesador, la información central y la RAM disponibles.

TechRepublic: ¿Cómo puedes protegerte de los hackers? Un ingeniero social de IBM ofrece consejos

Otro comando, «Obtener información de códec» aún no se ha implementado. El equipo cree que el troyano aún no está completo, ya que SectopRAT «parece inacabado y en partes apresuradamente».

«A pesar de defectos obvios como el uso de rutas codificadas sin variables ambientales para acceder a los archivos del sistema, la arquitectura de la RAT, el uso de un segundo escritorio y los cambios en los archivos y parámetros de configuración del navegador muestran cierto conocimiento interno que está lejos de ser un greenhorn», dicen los investigadores. «Es muy posible que las primeras muestras en la naturaleza sean meramente para pruebas».

Se puede acceder a los indicadores de compromiso (IoC) aquí.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0






Resource website link