Een nieuwe Remote Administration Tool (RAT) voor Windows waarmee aanvallers volledige controle over het systeem kunnen krijgen gebruikt een nieuwe aanvalsmethode en is daardoor voor zowel beveiligingssoftware als gebruikers zeer lastig te detecteren.

COMpfun, zoals de RAT wordt genoemd, kaapt een legitiem COM-object in Windows om zich in de processen op de besmette computer te laten injecteren. Daarbij zijn beheerdersrechten voor het kapen van het COM-object niet vereist. "Met deze RAT zouden aanvallers vrij lang een geïnfecteerd systeem kunnen bespioneren, aangezien het mechanisme om detectie te omzeilen zeer geavanceerd is", zegt Paul Rascagneres van het Duitse anti-virusbedrijf G Data.

Via een COM (Component Object Model) kunnen ontwikkelaars objecten van andere programma's controleren en manipuleren. Volgens Rascagneres heeft het gebruik van COM verschillende voordelen. Een aanvaller hoeft geen DLL-bestanden te injecteren, iets wat vaak door virusscanners wordt herkend. Een ander voordeel is dat zodra de infectie succesvol is, Windows vervolgens de malware in de processen van de geïnfecteerde gebruiker uitvoert.

Dat maakt het lastig om het aanvalsproces te identificeren. De COM-kaping werd bijvoorbeeld niet door het populaire programma Autoruns van Microsoft Sysinternals ontdekt. Via de RAT kunnen aanvallers bestanden up- en downloaden, screenshots maken, toetsaanslagen opslaan, bestanden uitvoeren en nog veel meer. Hoe de malware zich verspreidt en waar die werd ontdekt laat G Data niet weten.