Trojanisches Pferd auf blauer Computerplatine

CodeRAT - einer gefährlichen Malware auf der Spur

4.9.22 11:15 von Sunny Lesezeit: 3 Min.

Wer steckt hinter CodeRAT? Wer ist der Entwickler eines der gefährlichsten Remote-Access-Trojaner im Netz? Wir lüften das Geheimnis.

Der Quellcode eines gefährlichen Remote-Access-Trojaners (RAT) mit dem Namen „CodeRAT“ wurde auf GitHub veröffentlicht. Mit dieser Schlagzeile sorgte gestern bleepingcomputer.com im Netz für Aufsehen.

Aber wer oder was steckt dahinter? GitHub hat den Source Code schnell wieder gelöscht. In dem Artikel von BleepingComputer aber finden sich keinerlei Quellenangaben oder weiterführende Informationen. Grund genug für mich, sich das einmal etwas genauer anzuschauen.

Die Spur führt uns zurück bis ins Jahr 2019. Alles begann mit einem Telegram-Bot und einem sehr neugierigen Sicherheitsforscher.

CodeRAT – einer der gefährlichsten Remote-Access-Trojaner

Nicht ganz ohne Grund zählt CodeRAT, zu einem der gefährlichsten Trojaner im Netz.

Das Hauptziel von CodeRAT besteht darin, die Aktivitäten der Opfer in sozialen Netzwerken und auf lokalen Rechnern so lückenlos wie nur möglich zu überwachen.

Um dieses Ziel zu erreichen, unterstützt die Malware rund 50 verschiedene Befehle. Darunter das Erstellen von Screenshots, das Kopieren von Inhalten der Zwischenablage, das Abrufen einer Liste laufender Prozesse, das Beenden von Prozessen, das Überprüfen der GPU-Nutzung, das Herunter- und Hochladen sowie das Löschen von Dateien und das Ausführen von Programmen.

Soweit so gut. Aber wo ist denn nun der angeblich veröffentlichte Source Code zur Malware? Um es kurz zu fassen, er wurde von GitHub gelöscht. Und das nicht nur einmal.

Mr Moded – Member of emptiness

Mr Moded der Entwickler von CodeRAT - Member of emptiness — Mr Moded – Member of emptiness

So aufschlussreich der Beitrag von BleepingComputer, oder vielmehr Bill Toulas, dem Autor des Artikels auch ist. Leider erfahren wir nicht, wer denn nun eigentlich hinter CodeRAT steckt und was seine Motive waren. Dafür muss man schon ein bisschen tiefer graben.

Nimmt man sich die Zeit, findet man recht schnell den Namen des Malware-Entwicklers. Mehr noch. Man findet sogar eine spannende Geschichte, welche bis ins Jahr 2020 zurückreicht.

Nachdem wir Mr Moded den Beweis geliefert hatten, dass er hinter der Entwicklung des Codes stand, veröffentlichte er den Quellcode auf seinem GitHub-Konto und bewies damit, dass wir richtig lagen und er tatsächlich der Entwickler von CodeRAT war.
securityboulevard.com

RoboThiefClient – ein Telegram-Sitzungsdieb

Rico Jambor - der RoboThiefClient — Rico Jambor – der RoboThiefClient

Begonnen hatte die Geschichte demnach bereits Ende 2019-Anfang 2020, als der Malware-Analyst Rico Jambor auf den RoboThiefClient aufmerksam wurde. Der Telegram-Sitzungsdieb „RoboThief“ machte ihn neugierig.

Beim Scrollen durch eine Telegram-Gruppe habe ich vor kurzem (Ende Dezember 2019) ein Tool gefunden, das behauptet, gefälschte Follower zu euren Telegram-Kanälen hinzuzufügen. Das war eine ziemlich provokante Behauptung. Also lud ich das Tool herunter und analysierte es. Hier ist, was ich gefunden habe.
Rico Jambor

So also kam „der Stein“ ursprünglich ins Rollen. Die Sicherheitsforscher von SafeBreach Labs wurden ebenfalls auf den Blogbeitrag von Rico Jambor aufmerksam und begannen der Spur der Malware und ihrem Entwickler zu folgen. Was sie dann mit Jambor´s Hilfe herausfanden, haben sie ausführlich dokumentiert und den von ihnen verdächtigten Malware-Entwickler mit den Tatsachen konfrontiert.

Eine Warnung vor Malware auf einem MacOS-PC

Immer mehr macOS-PCs werden zu Proxy-Servern für die Unterwelt

Die Zeiten, in denen sich Benutzer von macOS-PCs sicher fühlen konnten, sind vorbei. Sie geraten immer häufiger ins Visier von Kriminellen.

Firefox Money: Ein Blick hinter die Kulissen der Mozilla-Finanzen

Firefox Money gibt einen spannenden Einblick in die verworrene Finanzwelt von Mozilla. Was verbirgt sich hinter der gemeinnützigen Stiftung?

Ein abstraktes Kreuz (symbolisch für den Weltkirchenrat)

Weltkirchenrat Opfer von Hackerangriff – zahlreiche Systeme betroffen

Über Weihnachten wurde der Weltkirchenrat zum Opfer einer Ransomware-Attacke. Auch die Webseite des Rates ist derzeit nicht erreichbar.

IcedID-Malware: Dem Anführer drohen mehrere Jahrzehnte Haft

Vyacheslav Igorevich Penchukov hat gestanden, eine entscheidende Rolle in der IcedID-Malware-Gang U.S. JabberZeus gespielt zu haben.

LinkedIn: 159 Millionen geklaute Accounts des Netzwerkes angeboten

LinkedIn: Schon wieder versuchen Hacker bei Pastebin neue Datenbanken zu verkaufen. Das E-Commerce Portal Rocketr hat den Verkauf blockiert.

verbotenefrauen.com: Rechnung der Mediapool & Friends UG erhalten?

Nach eigenen Angaben warten bei verbotenefrauen.com Frauen darauf, kontaktiert zu werden. Was mit Sicherheit kommt, ist eine dicke Rechnung.

Das FBI zerschlägt die Warzone RAT-Malware

FBI zerschlägt Warzone RAT: Malware-Anbieter hinter Gittern

Warzone RAT, auch bekannt als "Ave Maria-Malware", wurde vom FBI zerschlagen. Zwei Verdächtige wurden festgenommen und befinden sich in Haft.

Mikhail Matveev auf Most Wanted-Liste des FBI

Most Wanted-Hacker verspottet das FBI

Ein auf der Most Wanted-Liste des FBI international gesuchter Cyberkrimineller verkauft T-Shirts auf Twitter mit seinem Fahndungsfoto.

Malvertising ist eine unterschätze Gefahr (Symbolbild)

Google-Suche nach Notepad++ kann zu Infektion mit Malware führen

Das Beispiel von Notepad++ zeigt, dass die Suche nach einer bestimmten Software bei Google schnell zu gefährlicher Malware führen kann.

Rico Jambor im Interview: bitte jetzt eure Fragen einreichen!

Dank Rico Jambor konnten Sicherheitsforscher von SafeBreach Labs den Entwickler eines Remote-Access-Trojaners aufspüren und identifizieren.

Anonymer Hacker vor abstraktem digitalem Hintergrund

LockBit-Mitglied verurteilt: Vier Jahre Haft für Bandenmitglied

Mikhail Vasiliev, ein Mitglied der internationalen Ransomware-Gruppe LockBit, wurde in Kanada zu vier Jahren Haft verurteilt.

qBittorrent Web UI zum Mining von Monero missbraucht

Wer qBittorrent nicht richtig konfiguriert, muss befürchten, dass Hacker eine Monero-Mining-Schadsoftware auf dem Zielrechner installieren.

Ransomware-Bande legt SEC-Beschwerde ein – Opfer hat Hack verschwiegen

Die Ransomware-Bande ALPHV hat Beschwerde bei der US-Börsenaufsichtsbehörde eingelegt. Eines ihrer Opfer soll einen Hack verschwiegen haben.

ALPHV/BlackCat Exit Scam: Ein Abgang mit Betrug und Chaos

Der Vorhang fällt für ALPHV/BlackCat: Ein Blick hinter die Kulissen des Exit-Scams dieser berüchtigten Ransomware-Bande.

Vermummter Hacker mit Tablet in der Hand

Halloware – Von einer Ransomware, die aus der Hölle kam

Vorsicht vor gruseligen Gewinnspielen zu Halloween! Skepsis ist angebracht, um sich vor Ransomware wie z.B. Halloware zu schützen.

LockBit 4.0: Neue Version stand kurz vor der Fertigstellung

LockBit 4.0 - die neueste Version der LockBit Ransomware kommt mit einigen überraschenden und gefährlichen Änderungen daher.

Ransomware-Gang ALPHV, auch bekannt als ALPHV-ng, BlackCat und Noberus

Ransomware-Gang ALPHV mit Hilfe der Thurgauer Polizei gestoppt

Die Ransomware-Gang ALPHV, auch bekannt als "BlackCat", wurde von Ermittlern infiltriert. Sie hat weltweit Schaden angerichtet.

Trojanisierte McAfee Security-App gefährdet Android-Nutzer

Vorsicht vor der Banking-Malware Vultur! Dieser als McAfee Security-App getarnte Trojaner hat es auf eure sensiblen Daten abgesehen.