Triton RAT
A Cado Security Labs kutatói egy Triton RAT nevű, Python alapú távoli hozzáférésű trójait azonosítottak, amelyet nyílt forráskódú projektként a GitHubon tettek közzé. Ez a rosszindulatú szoftver a Telegram üzenetküldő platformot használja a fertőzött rendszerek távoli vezérlésére és adatlopásra.
A Triton RAT működése során először a Pastebinről szerzi be a Telegram bot tokenjét és a chat azonosítót, amelyeket Base64 kódolással tárol. Ezután számos káros tevékenységet hajt végre a fertőzött rendszeren, többek között, rögzíti a felhasználó által begépelt adatokat, lehetővé teszi a támadó számára, hogy parancsokat futtasson a rendszeren, továbbítja a böngészőkben és alkalmazásokban tárolt jelszavakat.
A Triton RAT különös figyelmet fordít a Roblox biztonsági sütik megszerzésére. Ezek a sütik a böngészőben tárolt munkamenet-információkat tartalmazzák, amelyek segítségével a támadó közvetlenül hozzáférhet a felhasználó Roblox fiókjához, megkerülve a bejelentkezési folyamatot és a kétfaktoros hitelesítést.
A Cado Security Labs kutatói megosztották az azonosításhoz szükséges indikátorokat és szabályokat.
