SectopRAT

Les experts en cybersécurité ont découvert un tout nouveau RAT (Remote Access Trojan) appelé SectopRAT. Quand ils ont disséqué la menace, il est devenu évident que ses auteurs y travaillent encore. Diverses fonctions ne fonctionnent pas et plusieurs modules semblent loin d'être complets.

Lance un bureau secondaire

Cependant, bien qu’il s’agisse d’un projet qui n’a pas encore été achevé, SectopRAT présente une fonctionnalité très intéressante. Cette menace peut lancer un processus supplémentaire appelé "explorer.exe" qui sera caché à la victime. Ce processus lance un deuxième bureau que l'utilisateur ne peut pas voir, mais les attaquants peuvent opérer librement. Le second bureau permettra aux auteurs de SectopRAT de parcourir les fichiers de la victime, de naviguer sur Internet et de modifier divers paramètres et configurations sur l’hôte compromis. Les attaquants peuvent également lancer une nouvelle instance de navigateur. Toutefois, si les victimes ont configuré leur navigateur Web manuellement, au lieu d'utiliser les paramètres d'installation par défaut, il se peut que SectopRAT ne puisse pas fonctionner. En effet, les attaquants ont utilisé des répertoires codés en dur pour exécuter le navigateur Web (que ce soit Google Chrome, Mozilla Firefox ou Internet Explorer).

Autres capacités

Outre les fonctionnalités énumérées ci-dessus, le SectopRAT peut également utiliser le curseur et lancer un module de clavier. Cela signifie que le contrôle des attaquants est presque illimité et qu'ils peuvent utiliser l'hôte compromis presque comme s'ils l'avaient pris physiquement. Les chercheurs ont également découvert que SectopRAT pouvait changer l'adresse du serveur C & C (Command & Control) assez rapidement et facilement. Le SectopRAT a plusieurs autres capacités:

• Collectez des informations sur la machine infectée.
• Déconnectez-vous du système compromis.
• Mise à jour automatique.

Les auteurs du SectopRAT testent encore les eaux

Les experts ont détecté différentes variantes de SectopRAT qui ont été téléchargées vers des services de numérisation destinés à détecter les programmes malveillants. Les chercheurs supposent que cela pourrait être le fait des auteurs du SectopRAT. Cela signifie que pour le moment, les attaquants semblent plonger leur pied dans l'eau et tester si leur menace sera détectée par un scanner de sécurité. Parmi les échantillons détectés, une variante du SectopRAT, déguisée en Adobe Flash Player. Cela nous porte à croire que SectopRAT peut être propagé comme une fausse copie du lecteur Adobe Flash ou comme une mise à jour de l'application.

Soyez particulièrement prudent lorsque vous naviguez sur le Web et évitez les sites Web louches pouvant héberger du contenu douteux, car c’est ce sur quoi de nombreux cyber-escrocs s’appuient pour propager des programmes malveillants. De plus, vous devez télécharger et installer une application anti-malware réputée qui sécurisera votre système.