Trojanac T9000 špijunira korisnike Skypea

Opisi virusa, 08.02.2016, 01:00 AM

Trojanac T9000 špijunira korisnike Skypea

Istraživači iz firme Palo Alto Networks otkrili su novog backdoor trojanca nazvanog T9000 koji je nova verzija poznatog malvera T5000, poznatog i pod nazivom Plat1, koji je otkriven 2013. godine.

Pored osnovnih funkcionalnosti koje imaju svi backdoor trojanci, T9000 omogućava napadačima da snimaju šifrovane podatke, prave snimke određenih aplikacija i da snimaju razgovore korisnika Skypea.

Osim toga, T9000 može da identifikuje čak 24 antivirusa koji rade na sistemu i da svoj mehanizam instalacije prilagodi tako da izbegne detekciju antivirusa koji je instaliran na računaru. Proces instalacije malvera odvija se u nekoliko etapa a u svakoj od njih malver proverava da li je eventualno podvrgnut analizi stručnjaka.

Primarna funkcionalnost T9000 je prikupljanje informacija o žrtvi. Malver je prekonfigurisan tako da automatski snima podatke o inficiranom sistemu i krade fajlove određenog tipa sa prenosnih uređaja za skladištenje podataka.

Istraživači Palo Alto Networks posmatrali su malver dok je on korišćen u ciljanim napadima na organizacije u SAD koji su otpočinjali fišing emailovima koji su pristizali na email adrese američkih organizacija. Međutim, oni kažu da funkcionalnost malvera ukazuje da je reč o alatu koji nije predviđen isključivo za ciljane napade.

Malver inficira računare pomoću RTF fajlova koji sadrže exploite za bezbednosne propuste CVE-2012-1856 i CVE-2015-1641.

U poređenju sa prethodnom verzijom, T9000 je mnogo komplikovaniji. Pre svega, autori malvera su uložili mnogo truda da bi malver mogao da izbegne detekciju antivirusa.

U svakoj fazi instalacije, a ima ih nekoliko, malver proverava eventualno prisustvo alata za analizu malvera, kao i nekog od 24 antivirusa sledećih proizvođača: Sophos, INCAInternet, Doctor Web, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising i Qihoo 360.

Kada se završe sve interne provere, posle instalacije, malver prikuplja informacije o zaraženom sistemu i šalje ih komandno-kontrolnom serveru da bi označio cilj napada i da bi se žrtve mogle razlikovati.

Kada se završi identifikacija cilja, C&C server šalje određene module svakom cilju, na osnovu toga koje su informacije pronađene a koje malver može da ukrade. Istraživači su za sada identifikovali tri glavna modula.

Najvažniji među njima, tyeu.dat, je odgovoran za špijuniranje razgovora korisnika Skypea. Kada se ovaj modul preuzme i pokrene, on čeka da korisnik pokrene Skype. Kada pokrene Skype, žrtva će videti sledeću poruku na ekranu: “explorer.exe wants to use Skype”. Ako žrtva klikne na “Allow access”, ona će time dati dozvolu trojancu T9000 da je špijunira.

Skype modul malvera može da snima i audio i video razgovore korisnika Skypea, ali i chat.

Drugi modul trojanca je vnkd.dat. On se učitava samo onda kada napadači žele da ukradu fajlove iz žrtvinog računara. Modul može da krade fajlove i sa prenosnih uređaja za skladištenje podataka, i to fajlove sa ekstenzijama kao što su doc, ppt, xls, docx, pptx i xlsx.

Treći modul malvera je qhnj.dat, koji omogućava komandno-kontrolnom serveru da šalje komande svakom inficiranom računaru da bi T9000 mogao da kreira, briše i premešta fajlove i direktorijume, da šifruje podatke i kopira clipboard.

T9000 je profesionalni alat za sajber špijunažu, smatraju u Palo Alto Networks. Njegov prethodnik, T5000, je povezivan sa grupom Admin@338, povezanom sa kineskom sajber armijom. Decembra prošle godine, grupa Admin@338 APT je povezivana sa kampanjom distribucije malvera u kojoj su korišćeni Dropbox nalozi unutar kojih su sakrivani C&C serveri.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje