Το Triton RAT αξιοποιεί το Telegram για απομακρυσμένη πρόσβαση
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το Triton RAT αξιοποιεί το Telegram για απομακρυσμένη πρόσβαση
https://www.secnews.gr/644862/triton-rat-eksiopoiei-telegram-apomakrismeni-prosvasi/
Mar 31st 2025, 13:26
by Absenta Mia
Ένα εξελιγμένο εργαλείο απομακρυσμένης πρόσβασης (RAT) που βασίζεται σε Python, γνωστό ως Triton, έχει αναδειχθεί σε σοβαρή απειλή, χρησιμοποιώντας το Telegram ως υποδομή εντολών και ελέγχου.
Δείτε επίσης: Η καμπάνια PJobRAT στόχευσε χρήστες της Ταϊβάν
Αυτό το κακόβουλο λογισμικό επιτρέπει στους επιτιθέμενους να αποκτούν απομακρυσμένη πρόσβαση και έλεγχο σε παραβιασμένα συστήματα, με ιδιαίτερη έμφαση στη συλλογή διαπιστευτηρίων Roblox και ασφαλιστικών cookies που μπορούν να παρακάμψουν την επαλήθευση δύο παραγόντων.
Το RAT ξεκινά τη λειτουργία του ανακτώντας το token του Telegram Bot και το chat ID από το Pastebin μέσω URL κωδικοποιημένων σε Base64, δημιουργώντας έτσι ένα μυστικό κανάλι επικοινωνίας.
Αφού αναπτυχθεί, το Triton RAT παρέχει εκτενή δυνατότητα ελέγχου του συστήματος, συμπεριλαμβανομένων της καταγραφής πληκτρολογήσεων, κλοπής κωδικών πρόσβασης, καταγραφής οθόνης, πρόσβασης στην κάμερα και εξαγωγής δεδομένων από το πρόχειρο.
Ερευνητές της Cado Security εντόπισαν αυτή την απειλή κατά τη διάρκεια της διερεύνησης μιας σειράς παραβιάσεων, επισημαίνοντας ότι το εκτενές σύνολο χαρακτηριστικών του RAT την καθιστά ιδιαίτερα επικίνδυνη σε στοχευμένες επιθέσεις.
Η ανάλυση αποκάλυψε ότι ο κώδικας του κακόβουλου λογισμικού περιέχει λειτουργίες που συστηματικά εξάγουν αποθηκευμένα διαπιστευτήρια από διάφορους περιηγητές και στοχεύει ειδικά στα cookies ασφαλείας του Roblox (.ROBLOSECURITY) από προφίλ των Chrome, Brave και Firefox.
Η μόλυνση εκμεταλλεύεται τεχνικές social engineering για να αποκτήσει αρχική πρόσβαση, μετά την οποία συλλέγει εκτενή πληροφορίες συστήματος, συμπεριλαμβανομένων των προδιαγραφών υλικού, των ρυθμίσεων δικτύου και των λεπτομερειών λογαριασμού χρήστη.
Δείτε ακόμα: Η Microsoft προειδοποιεί για νέο StilachiRAT malware
Όλα τα συλλεγμένα δεδομένα μεταδίδονται αποτελεσματικά στον επιτιθέμενο μέσω του Telegram, επιτρέποντας την παρακολούθηση και τον έλεγχο του παραβιασμένου συστήματος σε πραγματικό χρόνο.
To Triton RAT επιδεικνύει προηγμένες τακτικές επιμονής δημιουργώντας πολλαπλά στοιχεία που συνεργάζονται για να διατηρήσουν την πρόσβαση.
Το κακόβουλο λογισμικό δημιουργεί ένα αρχείο VBScript με την ονομασία "updateagent.vbs" που απενεργοποιεί τον Windows Defender και δημιουργεί προγραμματισμένα καθήκοντα, ενώ ένα ξεχωριστό BAT script "check.bat" ανακτά ένα δυαδικό αρχείο με την ονομασία "ProtonDrive.exe" από το DropBox.
Αυτό το δευτερεύον φορτίο αποθηκεύεται σε μια κρυφή δομή φακέλων στη διαδρομή "C:\Users\user\AppData\Local\Programs\Proton\Drive" και εκτελείται με δικαιώματα διαχειριστή.
Το Triton RAT χρησιμοποιεί επιπλέον τεχνικές κατά της ανάλυσης, ελέγχοντας για διαδικασίες που είναι σε "μαύρη λίστα", συμπεριλαμβανομένων εργαλείων αποσφαλμάτωσης και προϊόντων antivirus, αποδεικνύοντας την πρόθεση των δημιουργών του να αποφύγουν την ανίχνευση ενώ διατηρούν μόνιμο έλεγχο πάνω σε παραβιασμένα συστήματα.
Δείτε επίσης: Η Desert Dexter μολύνει 900 θύματα με το AsyncRAT
Ο όρος "κακόβουλο Remote Access Tool" (RAT) αναφέρεται σε ένα είδος κακόβουλου λογισμικού που επιτρέπει σε έναν επιτιθέμενο να αποκτήσει απομακρυσμένη πρόσβαση σε έναν υπολογιστή ή σύστημα χωρίς την άδεια του χρήστη. Τα RATs συνήθως χρησιμοποιούνται για κλοπή δεδομένων, παρακολούθηση των χρηστών, ή άλλες επιβλαβείς δραστηριότητες, όπως την εξάπλωση άλλων τύπων κακόβουλου λογισμικού. Αυτά τα εργαλεία λειτουργούν συνήθως στο παρασκήνιο και μπορεί να είναι πολύ δύσκολο να εντοπιστούν από τα παραδοσιακά εργαλεία προστασίας. Οι επιτιθέμενοι μπορούν να ελέγχουν πλήρως το σύστημα που έχει μολυνθεί, αποκτώντας πρόσβαση σε αρχεία, εφαρμογές και άλλες πληροφορίες.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το Triton RAT αξιοποιεί το Telegram για απομακρυσμένη πρόσβαση
https://www.secnews.gr/644862/triton-rat-eksiopoiei-telegram-apomakrismeni-prosvasi/
Mar 31st 2025, 13:26
by Absenta Mia
Ένα εξελιγμένο εργαλείο απομακρυσμένης πρόσβασης (RAT) που βασίζεται σε Python, γνωστό ως Triton, έχει αναδειχθεί σε σοβαρή απειλή, χρησιμοποιώντας το Telegram ως υποδομή εντολών και ελέγχου.
Δείτε επίσης: Η καμπάνια PJobRAT στόχευσε χρήστες της Ταϊβάν
Αυτό το κακόβουλο λογισμικό επιτρέπει στους επιτιθέμενους να αποκτούν απομακρυσμένη πρόσβαση και έλεγχο σε παραβιασμένα συστήματα, με ιδιαίτερη έμφαση στη συλλογή διαπιστευτηρίων Roblox και ασφαλιστικών cookies που μπορούν να παρακάμψουν την επαλήθευση δύο παραγόντων.
Το RAT ξεκινά τη λειτουργία του ανακτώντας το token του Telegram Bot και το chat ID από το Pastebin μέσω URL κωδικοποιημένων σε Base64, δημιουργώντας έτσι ένα μυστικό κανάλι επικοινωνίας.
Αφού αναπτυχθεί, το Triton RAT παρέχει εκτενή δυνατότητα ελέγχου του συστήματος, συμπεριλαμβανομένων της καταγραφής πληκτρολογήσεων, κλοπής κωδικών πρόσβασης, καταγραφής οθόνης, πρόσβασης στην κάμερα και εξαγωγής δεδομένων από το πρόχειρο.
Ερευνητές της Cado Security εντόπισαν αυτή την απειλή κατά τη διάρκεια της διερεύνησης μιας σειράς παραβιάσεων, επισημαίνοντας ότι το εκτενές σύνολο χαρακτηριστικών του RAT την καθιστά ιδιαίτερα επικίνδυνη σε στοχευμένες επιθέσεις.
Η ανάλυση αποκάλυψε ότι ο κώδικας του κακόβουλου λογισμικού περιέχει λειτουργίες που συστηματικά εξάγουν αποθηκευμένα διαπιστευτήρια από διάφορους περιηγητές και στοχεύει ειδικά στα cookies ασφαλείας του Roblox (.ROBLOSECURITY) από προφίλ των Chrome, Brave και Firefox.
Η μόλυνση εκμεταλλεύεται τεχνικές social engineering για να αποκτήσει αρχική πρόσβαση, μετά την οποία συλλέγει εκτενή πληροφορίες συστήματος, συμπεριλαμβανομένων των προδιαγραφών υλικού, των ρυθμίσεων δικτύου και των λεπτομερειών λογαριασμού χρήστη.
Δείτε ακόμα: Η Microsoft προειδοποιεί για νέο StilachiRAT malware
Όλα τα συλλεγμένα δεδομένα μεταδίδονται αποτελεσματικά στον επιτιθέμενο μέσω του Telegram, επιτρέποντας την παρακολούθηση και τον έλεγχο του παραβιασμένου συστήματος σε πραγματικό χρόνο.
To Triton RAT επιδεικνύει προηγμένες τακτικές επιμονής δημιουργώντας πολλαπλά στοιχεία που συνεργάζονται για να διατηρήσουν την πρόσβαση.
Το κακόβουλο λογισμικό δημιουργεί ένα αρχείο VBScript με την ονομασία "updateagent.vbs" που απενεργοποιεί τον Windows Defender και δημιουργεί προγραμματισμένα καθήκοντα, ενώ ένα ξεχωριστό BAT script "check.bat" ανακτά ένα δυαδικό αρχείο με την ονομασία "ProtonDrive.exe" από το DropBox.
Αυτό το δευτερεύον φορτίο αποθηκεύεται σε μια κρυφή δομή φακέλων στη διαδρομή "C:\Users\user\AppData\Local\Programs\Proton\Drive" και εκτελείται με δικαιώματα διαχειριστή.
Το Triton RAT χρησιμοποιεί επιπλέον τεχνικές κατά της ανάλυσης, ελέγχοντας για διαδικασίες που είναι σε "μαύρη λίστα", συμπεριλαμβανομένων εργαλείων αποσφαλμάτωσης και προϊόντων antivirus, αποδεικνύοντας την πρόθεση των δημιουργών του να αποφύγουν την ανίχνευση ενώ διατηρούν μόνιμο έλεγχο πάνω σε παραβιασμένα συστήματα.
Δείτε επίσης: Η Desert Dexter μολύνει 900 θύματα με το AsyncRAT
Ο όρος "κακόβουλο Remote Access Tool" (RAT) αναφέρεται σε ένα είδος κακόβουλου λογισμικού που επιτρέπει σε έναν επιτιθέμενο να αποκτήσει απομακρυσμένη πρόσβαση σε έναν υπολογιστή ή σύστημα χωρίς την άδεια του χρήστη. Τα RATs συνήθως χρησιμοποιούνται για κλοπή δεδομένων, παρακολούθηση των χρηστών, ή άλλες επιβλαβείς δραστηριότητες, όπως την εξάπλωση άλλων τύπων κακόβουλου λογισμικού. Αυτά τα εργαλεία λειτουργούν συνήθως στο παρασκήνιο και μπορεί να είναι πολύ δύσκολο να εντοπιστούν από τα παραδοσιακά εργαλεία προστασίας. Οι επιτιθέμενοι μπορούν να ελέγχουν πλήρως το σύστημα που έχει μολυνθεί, αποκτώντας πρόσβαση σε αρχεία, εφαρμογές και άλλες πληροφορίες.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz