新的特洛伊木马程序SectopRAT用以控制浏览器会话

A signed (Sectigo) C# malware, got told possible called “1xxbot” sample:

b1e3b5de12f785c45d5ea3fc64412ce640a42652b4749cf73911029041468e3a

Used to create hidden desktop and run selected browser there with full control.

Related to AsataFar…

cc @James_inthe_box @VK_Intel @Antelox pic.twitter.com/bFPqTmrSp6

— MalwareHunterTeam (@malwrhunterteam) November 15, 2019

据了解，恶意程序主要由C#编译，包括一个RemoteClient.Config类，该类具有四个可以配置的值：IP, retip, filename 和 mutexName。研究人员通过这四个变量发现：

1. IP变量与特洛伊木马的命令和控制服务器有关；
2. retip变量旨在建立一个新的C2入侵防御系统；
3. 可以使用“ set IP”命令覆盖服务器这些防御系统；
4. 已设置文件名和互斥名称，但未处于活动状态。

此外，研究人员还发现该软件似乎有一些缺点：首先，使用没有环境变量的硬编码路径来访问系统文件；其次，获取编译后的解码器信息的命令尚未完成。

研究人员说，尽管该程序存在一些明显的缺陷，但该程序所涉及的技术表明攻击者具有一定的专业知识，因此专家怀疑该木马可能只是一个测试产品。