Das Zscaler ThreatLabZ-Team hat Anfang August einen neuen Remote-Access-Trojaner (RAT) enttarnt, der auf Marktplätzen im Darknet zum Verkauf angeboten wird. Der Saefko-RAT ist in .NET geschrieben und bietet Angreifern gleich mehrere Funktionalitäten um die ferngesteuerte Kontrolle über ein System zu übernehmen.
Seine Vielseitigkeit stellt der Trojaner darüber hinaus dadurch unter Beweis, dass auch eine auf dem System integrierte Webcam aktiviert werden kann, sich darüber Screenshots erstellen lassen und Laufwerke auf einem stationären PC formatiert werden können. Die Infektion mit dieser Art von Trojanern erfolgt in der Regel über Email-Attachements oder über Anwendungen, wie Spiele, in denen der Schadcode versteckt ist.
Nach erfolgreicher Infektion operiert der Saefko RAT zunächst im Hintergrund, wird aber bei jedem Login des Benutzers ausgeführt. Mit Hilfe einer einzigartigen Technologie durchsucht der Trojaner das infizierte System nach relevanten Informationen. Dazu scannt er die Browser Historie nach bestimmten Kategorien von Online-Aktivitäten, wie der Möglichkeit eines Kreditkartengebrauchs, Gaming-Aktivitäten, Kryptowährungs-Aktivitäten, Social Media, Online-Shopping und mehr.
Er sendet Informationen zur Häufigkeit der vorgenommenen Online-Aktivitäten zurück an den Hacker, der daraufhin eine Entscheidungshilfe erhält, welche der infizierten Systeme er genauer beobachten sollte. Über den Command & Control Server weist der Angreifer die Malware an, System-Informationen bereitzustellen, und der Trojaner beginnt mit der Erfassung einer Reihe von Daten, einschließlich Screenshots, Videos, Tastaturprotokolle und mehr.
Im Allgemeinen haben RATs die Fähigkeit lange im Verborgenen zu bleiben und dabei eine Menge Daten zu stehlen, ohne erkannt zu werden. Auf diese Weise können sie sich auf andere Systeme im gesamten Netzwerk ausbreiten. Um sich vor der Infektion mit RATs zu schützen, sollten Unternehmen sicherstellen, dass ihre Mitarbeiter und Dienstleister nur Programme herunterladen oder Anhänge öffnen, die von einer vertrauenswürdigen Quelle stammen.
Ungenutzte Ports sollten von Administratoren geblockt, nicht genutzte Dienste ausgeschaltet und der gesamte ausgehende Datenverkehr überwacht werden. Angreifer gehen oft vorsichtig vor, um zu verhindern, dass die Malware zu viele Aktivitäten auf einmal ausführt und dadurch leichter entdeckt werden kann. Das System wird dadurch verlangsamt und zieht dadurch die Aufmerksamkeit von Benutzern oder der IT-Abteilung auf sich.