Atroposia: Heimlicher Remote‑Access‑Trojaner und seine Gefahren

Atroposia ist ein neuer Remote‑Access‑Trojaner (RAT), den Varonis entdeckt hat. Das Schadprogramm bietet verschlüsselte Befehlskanäle, versteckten Fernzugriff, den Diebstahl von Anmeldedaten und Kryptowallets sowie dateilose Exfiltration. Zum Funktionsumfang gehören außerdem HRDP, DNS‑Hijacking, lokales Schwachstellenscanning, UAC‑Bypass zur Rechteeskalation und mehrere Mechanismen zur Persistenz, mit denen sich die Malware nach Neustarts im System hält.

Varonis weist darauf hin, dass Atroposia Teil eines wachsenden Markts schlüsselfertiger, Plug‑and‑Play‑Toolkits ist. Zu ähnlichen Angeboten zählen demnach SpamGPT, eine KI‑gestützte „Spam‑as‑a‑Service“‑Plattform für das Erstellen von Phishing‑Kampagnen inklusive SMTP/IMAP‑Cracking und Zustellbarkeits‑Tools, sowie MatrixPDF, ein bösartiger PDF‑Builder, der durch Overlays, Weiterleitungen und eingebettete Aktionen normale PDFs für Phishing und Malware‑Verteilung nutzbar macht.

Grafik Quelle: Varonis

Das Bedienfeld sowie ein Plugin‑Builder sollen Atroposia einfach handhabbar machen und so auch weniger versierten Akteuren den Einsatz komplexer Angriffstechniken ermöglichen.

Das Angebot wird zu Preisen von rund 200 US‑Dollar pro Monat, 500 US‑Dollar für drei Monate oder 900 US‑Dollar für sechs Monate vermarktet.

Laut Analyse verschlüsselt die Malware die Kommunikation mit dem Command‑and‑Control‑Server (C2), kann Berechtigungen per UAC‑Bypass eskalieren und verschiedene Persistenzmechanismen installieren, wodurch sich Atroposia in Systeme einbettet, Antivirensoftware umgeht und langfristigen Zugriff ermöglicht, ohne dass Nutzer oder IT‑Personal dies bemerken.

Grafik Quelle: Varonis

Versteckter Desktop‑Zugriff per HRDP

Atroposia verfügt über eine verdeckte Remote‑Desktop‑Funktion namens „HRDP Connect“. Sie erzeugt im Hintergrund eine unsichtbare Desktop‑Sitzung — eine Schattenanmeldung — sodass das Opfer keinerlei Hinweise auf eine Fernsteuerung auf dem Bildschirm bemerkt. Über diese Schnittstelle können Angreifer das System vollständig steuern, Benutzeraktivitäten beobachten oder sich unbemerkt in bereits authentifizierte Sitzungen einklinken.

So eröffnet sich die Möglichkeit, Anwendungen zu starten, vertrauliche Dokumente oder E‑Mails einzusehen und den Arbeitsablauf des Opfers zu manipulieren, als säßen die Angreifer selbst am Rechner, während der rechtmäßige Nutzer nichts merkt. HRDP entgeht oft herkömmlicher Fernzugriffsüberwachung, weil es nicht auf üblichen RDP‑Benachrichtigungen oder Anmeldehinweisen basiert. Durch das stille Streamen des Bildschirms können Angreifer in Echtzeit spionieren oder Daten abgreifen, ohne sichtbar aufzutreten.

Dateisystemzugriff und heimliche Exfiltration

Atroposia gewährt vollständigen Fernzugriff auf das Dateisystem infizierter Rechner. Der eingebaute Dateimanager liefert eine Explorer‑ähnliche Übersicht über Laufwerke und Verzeichnisse, sodass Angreifer ferngesteuert suchen, Dateien herunterladen, ausführen oder löschen können. Dadurch lassen sich unbemerkt Dokumente, Quellcode oder Datenbankdateien auf Arbeitsstationen und Netzwerkfreigaben aufspüren.

Grafik Quelle: Varonis

Die Exfiltrationsfunktionen sind auf große Mengen und dateilose Techniken ausgelegt. Ein Grabber‑Modul identifiziert automatisch Dateien nach Erweiterung oder Stichwort (etwa alle PDF‑ oder CSV‑Dateien) und packt sie zur Abholung in eine passwortgeschützte ZIP‑Datei. (Der Screenshot oben zeigt ein Beispielarchiv mit gestohlenen Browserdaten, Messenger‑Sitzungen und einem automatischen Screenshot, die in einem Vorgang gesammelt wurden.) Indem die RAT Daten im Speicher bündelt und vorhandene legitime Werkzeuge des Hosts nutzt, reduziert sie ihre Spuren auf der Festplatte — eine Form der dateilosen Exfiltration, die klassische DLP‑Systeme kaum erfasst.

Ein spezielles Stealer‑Modul zielt gezielt auf sensible Daten wie gespeicherte Zugangsdaten, Kryptowährungs‑Wallets und Chat‑App‑Dateien. Gespeicherte Anmeldedaten zu Unternehmensanwendungen, VPNs oder Passwortmanagern gelten als besonders lohnende Ziele, weil sie Angreifern den Weg zu weiteren Systemen eröffnen.

Grafik Quelle: Varonis

Ausspionieren der Zwischenablage und Diebstahl von Anmeldedaten

Atroposia greift auch weniger offensichtliche Quellen sensibler Daten an, etwa die Zwischenablage des Nutzers. Über einen Zwischenablage-Manager überwacht die RAT in Echtzeit alle Inhalte, die kopiert oder ausgeschnitten werden. Werden Passwörter aus Tresoren, Quellcode-Schnipsel oder vertrauliche Texte kopiert, protokolliert die Malware diese sofort. So erhalten Angreifer einen Verlauf der Zwischenablageeinträge, die sie extrahieren oder manipulieren können.

Viele Nutzer speichern Anmeldedaten, API-Schlüssel oder vertrauliche Nachrichten nur temporär in der Zwischenablage. Atroposia nutzt diese Annahme aus und sammelt selbst flüchtige Informationen. In Kombination mit dem Stealer-Modul lassen sich Authentifizierungstoken, Sitzungscookies oder Krypto-Wallet-Adressen abgreifen, sodass Konten übernommen oder Kryptowährungstransaktionen umgeleitet werden können.

DNS-Hijacking und Netzwerkmanipulation

Die RAT beeinträchtigt nicht nur den Host, sondern auch den Netzwerkverkehr. Mit einem DNS-Hijacking-Modul können Angreifer DNS-Anfragen des infizierten Systems umleiten. Jede Domain lässt sich auf eine vom Angreifer gewählte IP-Adresse lenken, ohne dass das Opfer es merkt. Dadurch sind Phishing- oder Man-in-the-Middle-Angriffe möglich. Unternehmensportale oder andere Dienste können auf bösartige Seiten weitergeleitet werden, während die URL korrekt angezeigt wird.

Grafik Quelle: Varonis

Durch die Manipulation auf Host-Ebene umgeht Atroposia externe DNS-Schutzmaßnahmen und kann sogar HTTPS-Verbindungen kompromittieren. So lassen sich gefälschte Updates installieren, Werbung oder Malware einschleusen oder Daten über DNS-Tunnel exfiltrieren. Zusammen mit den anderen Funktionen verändert die Malware aktiv die Netzwerkerfahrung des Opfers zugunsten der Angreifer.

Lokales Scannen nach Schwachstellen

Atroposia enthält ein Modul zum lokalen Schwachstellenscan. Nach der Kompromittierung kann die RAT fehlende Patches, unsichere Einstellungen oder anfällige Softwareversionen identifizieren. Die Ergebnisse liefern Angreifern einen Überblick über potenzielle Angriffspunkte, etwa veraltete VPN-Clients oder ungepatchte Bugs zur Rechteausweitung.

Die modulare Struktur der RAT erlaubt es, Funktionen wie Stealer, Dateizugriff oder Schwachstellenscan unabhängig einzusetzen. Angreifer können gezielt nur bestimmte Module aktivieren, um unentdeckt zu bleiben.

Grafik Quelle: Varonis

Früher verlangten Cyberangriffe noch technisches Know‑how und maßgeschneiderte Malware. Heute erlauben Kryptowährungen, Telegram‑Kanäle und Untergrundmarktplätze nahezu jedem, fertige Tools zu erwerben und komplexe Kampagnen zu starten.

Atroposia, SpamGPT und MatrixPDF stehen für diese neue Generation krimineller Toolkits: Jedes Paket bündelt erweiterte Angriffsfunktionen in benutzerfreundlichen Oberflächen und automatisiert Phishing, Zustellung und Datendiebstahl.

Damit wandelt sich Cyberkriminalität zunehmend in eine Dienstleistungsbranche, in der nicht mehr primär Fähigkeiten, sondern der Zugang über Kauf und Nutzung über Erfolg entscheidet.

Bild/Quelle: https://depositphotos.com/de/home.html