Remote-Access-Trojaner zielt auf Cryptocurrency ab

Das Zscaler-ThreatLabZ-Team hat mit „InnfiRAT“ einen neuen Remote-Access-Trojaner analysiert, der es auf Kryptowährungs-Wallet-Informationen, wie Bitcoin und Litecoin, abgesehen hat. Darüber hinaus hat es der im Format .NET geschriebene Schadcode auf weitere sensible Informationen abgesehen und kann auf infizierten Rechnern umfangreiche Aktivitäten zum Auslesen ausführen. InnfiRAT erfasst beispielsweise Browser-Cookies, um gespeicherte Benutzernamen und Passwörter sowie Sitzungsdaten zu stehlen. Darüber hinaus verfügt der Trojaner über Screenshot-Funktionalität, so dass InnfiRat sogar Informationen aus offenen Fenstern des befallenen Systems abgreifen kann. Wenn der Benutzer zum Beispiel seine E-Mails liest, kann die Malware Screenshots erstellen.

Außerdem wird nach anderen Anwendungen gesucht, die auf dem System ausgeführt werden, unter anderem nach einem aktiven Antivirenprogramm. Der RAT sendet die gesammelten Daten an seinen Command-and-Control- (C&C-)Server und fordert von dort weitere Anweisungen an. Über die Rückkopplung zum C&C-Center können die Angreifer dem Trojaner befehlen, zusätzlichen Schadcode auf das infizierte System herunterzuladen.

RATs werden von Cyberkriminellen genutzt, um eine Hintertür im System des Ziel-Unternehmens zu etablieren und es aus der Ferne zu übernehmen. Die Schadsoftware ist so programmiert, dass sie den Angreifern mehrere Möglichkeiten zur Durchführung verschiedener Befehle bietet. Zu den offensichtlichen Funktionen gehören das Protokollieren von Tastaturanschlägen, der Fernzugriff auf sensible Daten, die Aktivierung und das Filmen oder Fotografieren mit der Webcam eines gekaperten und internetfähigen Geräts, Screenshots erstellen sowie die Formatierung von Laufwerken.

Diese Art von Schädling wird in der Regel durch das Öffnen eines E-Mail-Anhangs oder über das Herunterladen einer infizierten Anwendung auf das Gerät des Opfers installiert. Weitere Details zu InnfiRAT und seinen Kommunikationsmöglichkeiten stehen im ausführlichen ThreatLabZ-Blog zur Verfügung unter:

https://www.zscaler.com/blogs/research/innfirat-new-rat-aiming-your-cryptocurrency-and-more

#Netzpalaver #Zscaler