Ένα νέο Trojan, το SectopRAT, βγήκε στο φως του ήλιου, το οποίο είναι σε θέση να ξεκινήσει μια κρυφή δευτερεύουσα επιφάνεια εργασίας για να ελέγξει τα browser sessions σε παραβιασμένα μηχανήματα.

Το νέο malware εντοπίστηκε για πρώτη φορά από την MalwareHunterTeam. Σε ένα tweet στις 15 Νοεμβρίου, η MalwareHunterTeam είπε ότι το C# malware, που εντοπίστηκε στις 13 Νοεμβρίου, ήταν σε θέση να “δημιουργήσει μια κρυφή επιφάνεια εργασίας και να εκτελέσει έναν επιλεγμένο browser με πλήρη έλεγχο”.

Η είδηση αυτή τράβηξε την προσοχή των ερευνητών ασφάλειας της G Data, οι οποίοι κατάφεραν να λάβουν ένα δεύτερο δείγμα, το οποίο εντοπίστηκε στις 14 Νοεμβρίου και αργότερα υποβλήθηκε στην Virustotal.

Το πρώτο δείγμα SectopRAT υπογράφεται από την Sectigo RSA Code Signing CA και χρησιμοποιεί ένα εικονίδιο Flash, ενώ το δεύτερο δεν υπογράφεται. Και τα δύο δείγματα του Trojan Remote Access (Remote Access Trojan) (RAT) χρησιμοποιούν αυθαίρετους χαρακτήρες στα ονόματά τους, έχουν χαρακτηριστικά εγγραφής / εκτέλεσης και κάνουν χρήση του ConfuserEx για παραμόρφωση.

Σύμφωνα με τους ερευνητές, το κακόβουλο πρόγραμμα περιέχει ένα RemoteClient.Config class με τέσσερεις μεταβλητές για διαμόρφωση – IP, retip, όνομα αρχείου και mutexName.

Η μεταβλητή IP σχετίζεται με τον διακομιστή εντολών και ελέγχου του Trojan (C2), ενώ η μεταβλητή retip έχει σχεδιαστεί για τη δημιουργία νέων πρωτοκόλλων C2 που ο διακομιστής μπορεί να παρακάμψει χρησιμοποιώντας την εντολή “set IP”.

Το όνομα αρχείου και το mutexName, ωστόσο, έχουν οριστεί αλλά δεν είναι σε ενεργή χρήση.

Το hardcoded filename spoolsvc.exe προστίθεται στο μητρώο, μια απομίμηση της νόμιμης υπηρεσίας spoolsv.exe της Microsoft.

Αφού συνδεθεί με το C2 του, το Trojan μπορεί να γίνει command είτε σε ροή μιας ενεργής περιόδου λειτουργίας του υπολογιστή είτε να δημιουργήσει μια δευτερεύουσα επιφάνεια εργασίας, η οποία είναι hardcoded ως “sdfsddfg”. Οι ερευνητές λένε ότι οι χειριστές του κακόβουλου λογισμικού μπορούν να χρησιμοποιήσουν την εντολή “Init browser” για να ξεκινήσουν μια περίοδο λειτουργίας του προγράμματος περιήγησης μέσω της δευτερεύουσας επιφάνειας εργασίας.

Το malware είναι επίσης σε θέση να αλλάξει τις παραμέτρους του προγράμματος περιήγησης για να απενεργοποιήσει τα εμπόδια ασφαλείας και τα sandboxes. Ωστόσο, οι διαδρομές του προγράμματος περιήγησης είναι hardcoded και δεν χρησιμοποιούν περιβαλλοντικές μεταβλητές.

Το κακόβουλο λογισμικό είναι επίσης σε θέση να στείλει πληροφορίες υπολογιστή πίσω στο C2, όπως το όνομα του λειτουργικού συστήματος, τα δεδομένα του επεξεργαστή, τις βασικές πληροφορίες και τη διαθέσιμη μνήμη RAM.

Μια άλλη εντολή, “Get info codec”, δεν έχει ακόμη υλοποιηθεί. Η ομάδα πιστεύει ότι το Trojan δεν έχει ακόμη ολοκληρωθεί, καθώς το SectopRAT “φαίνεται ατελές και με μερικά βιαστικά βήματα υλοποίησης”.