Der Quellcode eines gefährlichen Remote-Access-Trojaners (
Aber wer oder was steckt dahinter? GitHub hat den Source Code schnell wieder gelöscht. In dem Artikel von BleepingComputer aber finden sich keinerlei Quellenangaben oder weiterführende Informationen. Grund genug für mich, sich das einmal etwas genauer anzuschauen.
Die Spur führt uns zurück bis ins Jahr 2019. Alles begann mit einem Telegram-Bot und einem sehr neugierigen Sicherheitsforscher.
Das Hauptziel von CodeRAT besteht darin, die Aktivitäten der Opfer in sozialen Netzwerken und auf lokalen Rechnern so lückenlos wie nur möglich zu überwachen.
Um dieses Ziel zu erreichen, unterstützt die Malware
Soweit so gut. Aber wo ist denn nun der angeblich veröffentlichte Source Code zur Malware? Um es kurz zu fassen, er wurde von GitHub gelöscht. Und das nicht nur einmal.
So aufschlussreich der Beitrag von BleepingComputer, oder vielmehr Bill Toulas, dem Autor des Artikels auch ist. Leider erfahren wir nicht, wer denn nun eigentlich hinter CodeRAT steckt und was seine Motive waren. Dafür muss man schon ein bisschen tiefer graben.
Nimmt man sich die Zeit, findet man recht schnell den Namen des Malware-Entwicklers. Mehr noch. Man findet sogar eine spannende Geschichte, welche bis ins Jahr 2020 zurückreicht.
Begonnen hatte die Geschichte demnach bereits Ende 2019-Anfang 2020, als der Malware-Analyst Rico Jambor auf den RoboThiefClient aufmerksam wurde. Der Telegram-Sitzungsdieb “RoboThief” machte ihn neugierig.
Tarnkappe.info
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
) mit dem Namen “CodeRAT” wurde auf GitHub veröffentlicht. Mit dieser Schlagzeile sorgte gestern
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
im Netz für Aufsehen. Aber wer oder was steckt dahinter? GitHub hat den Source Code schnell wieder gelöscht. In dem Artikel von BleepingComputer aber finden sich keinerlei Quellenangaben oder weiterführende Informationen. Grund genug für mich, sich das einmal etwas genauer anzuschauen.
Die Spur führt uns zurück bis ins Jahr 2019. Alles begann mit einem Telegram-Bot und einem sehr neugierigen Sicherheitsforscher.
CodeRAT – einer der gefährlichsten Remote-Access-Trojaner
Nicht ganz ohne Grund zählt CodeRAT, zu einem der gefährlichsten Trojaner im Netz.Das Hauptziel von CodeRAT besteht darin, die Aktivitäten der Opfer in sozialen Netzwerken und auf lokalen Rechnern so lückenlos wie nur möglich zu überwachen.
Um dieses Ziel zu erreichen, unterstützt die Malware
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Darunter das Erstellen von Screenshots, das Kopieren von Inhalten der Zwischenablage, das Abrufen einer Liste laufender Prozesse, das Beenden von Prozessen, das Überprüfen der GPU-Nutzung, das Herunter- und Hochladen sowie das Löschen von Dateien und das Ausführen von Programmen.Soweit so gut. Aber wo ist denn nun der angeblich veröffentlichte Source Code zur Malware? Um es kurz zu fassen, er wurde von GitHub gelöscht. Und das nicht nur einmal.
Mr Moded – Member of emptiness
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Mr Moded – Member of emptinessSo aufschlussreich der Beitrag von BleepingComputer, oder vielmehr Bill Toulas, dem Autor des Artikels auch ist. Leider erfahren wir nicht, wer denn nun eigentlich hinter CodeRAT steckt und was seine Motive waren. Dafür muss man schon ein bisschen tiefer graben.
Nimmt man sich die Zeit, findet man recht schnell den Namen des Malware-Entwicklers. Mehr noch. Man findet sogar eine spannende Geschichte, welche bis ins Jahr 2020 zurückreicht.
Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
RoboThiefClient – ein Telegram-Sitzungsdieb
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Rico Jambor – der RoboThiefClientBegonnen hatte die Geschichte demnach bereits Ende 2019-Anfang 2020, als der Malware-Analyst Rico Jambor auf den RoboThiefClient aufmerksam wurde. Der Telegram-Sitzungsdieb “RoboThief” machte ihn neugierig.
So also kam “der Stein” ursprünglich ins Rollen. Die Sicherheitsforscher vonDu musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
wurden ebenfalls auf den Blogbeitrag von Rico Jambor aufmerksam und begannen der Spur der Malware und ihrem Entwickler zu folgen. Was sie dann mit Jambor´s Hilfe herausfanden, haben sie ausführlich dokumentiert und den von ihnen verdächtigten Malware-Entwickler mit den Tatsachen konfrontiert. Tarnkappe.info