Trojanac T9000 špijunira korisnike Skypea

Opisi virusa, 08.02.2016, 01:00 AM

Trojanac T9000 špijunira korisnike Skypea

Istraživači iz firme Palo Alto Networks otkrili su novog backdoor trojanca nazvanog T9000 koji je nova verzija poznatog malvera T5000, poznatog i pod nazivom Plat1, koji je otkriven 2013. godine.

Pored osnovnih funkcionalnosti koje imaju svi backdoor trojanci, T9000 omogućava napadačima da snimaju šifrovane podatke, prave snimke određenih aplikacija i da snimaju razgovore korisnika Skypea.

Osim toga, T9000 može da identifikuje čak 24 antivirusa koji rade na sistemu i da svoj mehanizam instalacije prilagodi tako da izbegne detekciju antivirusa koji je instaliran na računaru. Proces instalacije malvera odvija se u nekoliko etapa a u svakoj od njih malver proverava da li je eventualno podvrgnut analizi stručnjaka.

Primarna funkcionalnost T9000 je prikupljanje informacija o žrtvi. Malver je prekonfigurisan tako da automatski snima podatke o inficiranom sistemu i krade fajlove određenog tipa sa prenosnih uređaja za skladištenje podataka.

Istraživači Palo Alto Networks posmatrali su malver dok je on korišćen u ciljanim napadima na organizacije u SAD koji su otpočinjali fišing emailovima koji su pristizali na email adrese američkih organizacija. Međutim, oni kažu da funkcionalnost malvera ukazuje da je reč o alatu koji nije predviđen isključivo za ciljane napade.

Malver inficira računare pomoću RTF fajlova koji sadrže exploite za bezbednosne propuste CVE-2012-1856 i CVE-2015-1641.

U poređenju sa prethodnom verzijom, T9000 je mnogo komplikovaniji. Pre svega, autori malvera su uložili mnogo truda da bi malver mogao da izbegne detekciju antivirusa.

U svakoj fazi instalacije, a ima ih nekoliko, malver proverava eventualno prisustvo alata za analizu malvera, kao i nekog od 24 antivirusa sledećih proizvođača: Sophos, INCAInternet, Doctor Web, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising i Qihoo 360.

Kada se završe sve interne provere, posle instalacije, malver prikuplja informacije o zaraženom sistemu i šalje ih komandno-kontrolnom serveru da bi označio cilj napada i da bi se žrtve mogle razlikovati.

Kada se završi identifikacija cilja, C&C server šalje određene module svakom cilju, na osnovu toga koje su informacije pronađene a koje malver može da ukrade. Istraživači su za sada identifikovali tri glavna modula.

Najvažniji među njima, tyeu.dat, je odgovoran za špijuniranje razgovora korisnika Skypea. Kada se ovaj modul preuzme i pokrene, on čeka da korisnik pokrene Skype. Kada pokrene Skype, žrtva će videti sledeću poruku na ekranu: “explorer.exe wants to use Skype”. Ako žrtva klikne na “Allow access”, ona će time dati dozvolu trojancu T9000 da je špijunira.

Skype modul malvera može da snima i audio i video razgovore korisnika Skypea, ali i chat.

Drugi modul trojanca je vnkd.dat. On se učitava samo onda kada napadači žele da ukradu fajlove iz žrtvinog računara. Modul može da krade fajlove i sa prenosnih uređaja za skladištenje podataka, i to fajlove sa ekstenzijama kao što su doc, ppt, xls, docx, pptx i xlsx.

Treći modul malvera je qhnj.dat, koji omogućava komandno-kontrolnom serveru da šalje komande svakom inficiranom računaru da bi T9000 mogao da kreira, briše i premešta fajlove i direktorijume, da šifruje podatke i kopira clipboard.

T9000 je profesionalni alat za sajber špijunažu, smatraju u Palo Alto Networks. Njegov prethodnik, T5000, je povezivan sa grupom Admin@338, povezanom sa kineskom sajber armijom. Decembra prošle godine, grupa Admin@338 APT je povezivana sa kampanjom distribucije malvera u kojoj su korišćeni Dropbox nalozi unutar kojih su sakrivani C&C serveri.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje