Atroposia: Heimlicher Remote‑Access‑Trojaner mit umfangreicher Funktionsliste

Atroposia ist ein neuer Remote‑Access‑Trojaner (RAT), den Varonis entdeckt hat. Das Schadprogramm bietet verschlüsselte Befehlskanäle, versteckten Fernzugriff, den Diebstahl von Anmeldedaten und Kryptowallets sowie dateilose Exfiltration. Zum Funktionsumfang gehören außerdem HRDP, DNS‑Hijacking, lokales Schwachstellenscanning, UAC‑Bypass zur Rechteeskalation und mehrere Mechanismen zur Persistenz, mit denen sich die Malware nach Neustarts im System hält.

Varonis weist darauf hin, dass Atroposia Teil eines wachsenden Markts schlüsselfertiger, Plug‑and‑Play‑Toolkits ist. Zu ähnlichen Angeboten zählen demnach SpamGPT, eine KI‑gestützte „Spam‑as‑a‑Service“‑Plattform für das Erstellen von Phishing‑Kampagnen inklusive SMTP/IMAP‑Cracking und Zustellbarkeits‑Tools, sowie MatrixPDF, ein bösartiger PDF‑Builder, der durch Overlays, Weiterleitungen und eingebettete Aktionen normale PDFs für Phishing und Malware‑Verteilung nutzbar macht.

Grafik Quelle: Varonis

Das Bedienfeld sowie ein Plugin‑Builder sollen Atroposia einfach handhabbar machen und so auch weniger versierten Akteuren den Einsatz komplexer Angriffstechniken ermöglichen.

Das Angebot wird zu Preisen von rund 200 US‑Dollar pro Monat, 500 US‑Dollar für drei Monate oder 900 US‑Dollar für sechs Monate vermarktet.

Laut Analyse verschlüsselt die Malware die Kommunikation mit dem Command‑and‑Control‑Server (C2), kann Berechtigungen per UAC‑Bypass eskalieren und verschiedene Persistenzmechanismen installieren, wodurch sich Atroposia in Systeme einbettet, Antivirensoftware umgeht und langfristigen Zugriff ermöglicht, ohne dass Nutzer oder IT‑Personal dies bemerken.

Grafik Quelle: Varonis

Versteckter Desktop‑Zugriff per HRDP

Atroposia verfügt über eine verdeckte Remote‑Desktop‑Funktion namens „HRDP Connect“. Sie erzeugt im Hintergrund eine unsichtbare Desktop‑Sitzung — eine Schattenanmeldung — sodass das Opfer keinerlei Hinweise auf eine Fernsteuerung auf dem Bildschirm bemerkt. Über diese Schnittstelle können Angreifer das System vollständig steuern, Benutzeraktivitäten beobachten oder sich unbemerkt in bereits authentifizierte Sitzungen einklinken.

So eröffnet sich die Möglichkeit, Anwendungen zu starten, vertrauliche Dokumente oder E‑Mails einzusehen und den Arbeitsablauf des Opfers zu manipulieren, als säßen die Angreifer selbst am Rechner, während der rechtmäßige Nutzer nichts merkt. HRDP entgeht oft herkömmlicher Fernzugriffsüberwachung, weil es nicht auf üblichen RDP‑Benachrichtigungen oder Anmeldehinweisen basiert. Durch das stille Streamen des Bildschirms können Angreifer in Echtzeit spionieren oder Daten abgreifen, ohne sichtbar aufzutreten.

Dateisystemzugriff und heimliche Exfiltration

Atroposia gewährt vollständigen Fernzugriff auf das Dateisystem infizierter Rechner. Der eingebaute Dateimanager liefert eine Explorer‑ähnliche Übersicht über Laufwerke und Verzeichnisse, sodass Angreifer ferngesteuert suchen, Dateien herunterladen, ausführen oder löschen können. Dadurch lassen sich unbemerkt Dokumente, Quellcode oder Datenbankdateien auf Arbeitsstationen und Netzwerkfreigaben aufspüren.

Grafik Quelle: Varonis

Die Exfiltrationsfunktionen sind auf große Mengen und dateilose Techniken ausgelegt. Ein Grabber‑Modul identifiziert automatisch Dateien nach Erweiterung oder Stichwort (etwa alle PDF‑ oder CSV‑Dateien) und packt sie zur Abholung in eine passwortgeschützte ZIP‑Datei. (Der Screenshot oben zeigt ein Beispielarchiv mit gestohlenen Browserdaten, Messenger‑Sitzungen und einem automatischen Screenshot, die in einem Vorgang gesammelt wurden.) Indem die RAT Daten im Speicher bündelt und vorhandene legitime Werkzeuge des Hosts nutzt, reduziert sie ihre Spuren auf der Festplatte — eine Form der dateilosen Exfiltration, die klassische DLP‑Systeme kaum erfasst.

Ein spezielles Stealer‑Modul zielt gezielt auf sensible Daten wie gespeicherte Zugangsdaten, Kryptowährungs‑Wallets und Chat‑App‑Dateien. Gespeicherte Anmeldedaten zu Unternehmensanwendungen, VPNs oder Passwortmanagern gelten als besonders lohnende Ziele, weil sie Angreifern den Weg zu weiteren Systemen eröffnen.

Grafik Quelle: Varonis

Grafik Quelle: Varonis

Früher verlangten Cyberangriffe noch technisches Know‑how und maßgeschneiderte Malware. Heute erlauben Kryptowährungen, Telegram‑Kanäle und Untergrundmarktplätze nahezu jedem, fertige Tools zu erwerben und komplexe Kampagnen zu starten.

Atroposia, SpamGPT und MatrixPDF stehen für diese neue Generation krimineller Toolkits: Jedes Paket bündelt erweiterte Angriffsfunktionen in benutzerfreundlichen Oberflächen und automatisiert Phishing, Zustellung und Datendiebstahl.

Damit wandelt sich Cyberkriminalität zunehmend in eine Dienstleistungsbranche, in der nicht mehr primär Fähigkeiten, sondern der Zugang über Kauf und Nutzung über Erfolg entscheidet.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon