Trojanac T9000 špijunira korisnike Skypea

Opisi virusa, 08.02.2016, 01:00 AM

Trojanac T9000 špijunira korisnike Skypea

Istraživači iz firme Palo Alto Networks otkrili su novog backdoor trojanca nazvanog T9000 koji je nova verzija poznatog malvera T5000, poznatog i pod nazivom Plat1, koji je otkriven 2013. godine.

Pored osnovnih funkcionalnosti koje imaju svi backdoor trojanci, T9000 omogućava napadačima da snimaju šifrovane podatke, prave snimke određenih aplikacija i da snimaju razgovore korisnika Skypea.

Osim toga, T9000 može da identifikuje čak 24 antivirusa koji rade na sistemu i da svoj mehanizam instalacije prilagodi tako da izbegne detekciju antivirusa koji je instaliran na računaru. Proces instalacije malvera odvija se u nekoliko etapa a u svakoj od njih malver proverava da li je eventualno podvrgnut analizi stručnjaka.

Primarna funkcionalnost T9000 je prikupljanje informacija o žrtvi. Malver je prekonfigurisan tako da automatski snima podatke o inficiranom sistemu i krade fajlove određenog tipa sa prenosnih uređaja za skladištenje podataka.

Istraživači Palo Alto Networks posmatrali su malver dok je on korišćen u ciljanim napadima na organizacije u SAD koji su otpočinjali fišing emailovima koji su pristizali na email adrese američkih organizacija. Međutim, oni kažu da funkcionalnost malvera ukazuje da je reč o alatu koji nije predviđen isključivo za ciljane napade.

Malver inficira računare pomoću RTF fajlova koji sadrže exploite za bezbednosne propuste CVE-2012-1856 i CVE-2015-1641.

U poređenju sa prethodnom verzijom, T9000 je mnogo komplikovaniji. Pre svega, autori malvera su uložili mnogo truda da bi malver mogao da izbegne detekciju antivirusa.

U svakoj fazi instalacije, a ima ih nekoliko, malver proverava eventualno prisustvo alata za analizu malvera, kao i nekog od 24 antivirusa sledećih proizvođača: Sophos, INCAInternet, Doctor Web, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising i Qihoo 360.

Kada se završe sve interne provere, posle instalacije, malver prikuplja informacije o zaraženom sistemu i šalje ih komandno-kontrolnom serveru da bi označio cilj napada i da bi se žrtve mogle razlikovati.

Kada se završi identifikacija cilja, C&C server šalje određene module svakom cilju, na osnovu toga koje su informacije pronađene a koje malver može da ukrade. Istraživači su za sada identifikovali tri glavna modula.

Najvažniji među njima, tyeu.dat, je odgovoran za špijuniranje razgovora korisnika Skypea. Kada se ovaj modul preuzme i pokrene, on čeka da korisnik pokrene Skype. Kada pokrene Skype, žrtva će videti sledeću poruku na ekranu: “explorer.exe wants to use Skype”. Ako žrtva klikne na “Allow access”, ona će time dati dozvolu trojancu T9000 da je špijunira.

Skype modul malvera može da snima i audio i video razgovore korisnika Skypea, ali i chat.

Drugi modul trojanca je vnkd.dat. On se učitava samo onda kada napadači žele da ukradu fajlove iz žrtvinog računara. Modul može da krade fajlove i sa prenosnih uređaja za skladištenje podataka, i to fajlove sa ekstenzijama kao što su doc, ppt, xls, docx, pptx i xlsx.

Treći modul malvera je qhnj.dat, koji omogućava komandno-kontrolnom serveru da šalje komande svakom inficiranom računaru da bi T9000 mogao da kreira, briše i premešta fajlove i direktorijume, da šifruje podatke i kopira clipboard.

T9000 je profesionalni alat za sajber špijunažu, smatraju u Palo Alto Networks. Njegov prethodnik, T5000, je povezivan sa grupom [email protected], povezanom sa kineskom sajber armijom. Decembra prošle godine, grupa [email protected] APT je povezivana sa kampanjom distribucije malvera u kojoj su korišćeni Dropbox nalozi unutar kojih su sakrivani C&C serveri.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje