Trojanac T9000 špijunira korisnike Skypea
Opisi virusa, 08.02.2016, 01:00 AM

Istraživači iz firme Palo Alto Networks otkrili su novog backdoor trojanca nazvanog T9000 koji je nova verzija poznatog malvera T5000, poznatog i pod nazivom Plat1, koji je otkriven 2013. godine.
Pored osnovnih funkcionalnosti koje imaju svi backdoor trojanci, T9000 omogućava napadačima da snimaju šifrovane podatke, prave snimke određenih aplikacija i da snimaju razgovore korisnika Skypea.
Osim toga, T9000 može da identifikuje čak 24 antivirusa koji rade na sistemu i da svoj mehanizam instalacije prilagodi tako da izbegne detekciju antivirusa koji je instaliran na računaru. Proces instalacije malvera odvija se u nekoliko etapa a u svakoj od njih malver proverava da li je eventualno podvrgnut analizi stručnjaka.
Primarna funkcionalnost T9000 je prikupljanje informacija o žrtvi. Malver je prekonfigurisan tako da automatski snima podatke o inficiranom sistemu i krade fajlove određenog tipa sa prenosnih uređaja za skladištenje podataka.
Istraživači Palo Alto Networks posmatrali su malver dok je on korišćen u ciljanim napadima na organizacije u SAD koji su otpočinjali fišing emailovima koji su pristizali na email adrese američkih organizacija. Međutim, oni kažu da funkcionalnost malvera ukazuje da je reč o alatu koji nije predviđen isključivo za ciljane napade.
Malver inficira računare pomoću RTF fajlova koji sadrže exploite za bezbednosne propuste CVE-2012-1856 i CVE-2015-1641.
U poređenju sa prethodnom verzijom, T9000 je mnogo komplikovaniji. Pre svega, autori malvera su uložili mnogo truda da bi malver mogao da izbegne detekciju antivirusa.
U svakoj fazi instalacije, a ima ih nekoliko, malver proverava eventualno prisustvo alata za analizu malvera, kao i nekog od 24 antivirusa sledećih proizvođača: Sophos, INCAInternet, Doctor Web, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising i Qihoo 360.
Kada se završe sve interne provere, posle instalacije, malver prikuplja informacije o zaraženom sistemu i šalje ih komandno-kontrolnom serveru da bi označio cilj napada i da bi se žrtve mogle razlikovati.
Kada se završi identifikacija cilja, C&C server šalje određene module svakom cilju, na osnovu toga koje su informacije pronađene a koje malver može da ukrade. Istraživači su za sada identifikovali tri glavna modula.
Najvažniji među njima, tyeu.dat, je odgovoran za špijuniranje razgovora korisnika Skypea. Kada se ovaj modul preuzme i pokrene, on čeka da korisnik pokrene Skype. Kada pokrene Skype, žrtva će videti sledeću poruku na ekranu: “explorer.exe wants to use Skype”. Ako žrtva klikne na “Allow access”, ona će time dati dozvolu trojancu T9000 da je špijunira.
Skype modul malvera može da snima i audio i video razgovore korisnika Skypea, ali i chat.
Drugi modul trojanca je vnkd.dat. On se učitava samo onda kada napadači žele da ukradu fajlove iz žrtvinog računara. Modul može da krade fajlove i sa prenosnih uređaja za skladištenje podataka, i to fajlove sa ekstenzijama kao što su doc, ppt, xls, docx, pptx i xlsx.
Treći modul malvera je qhnj.dat, koji omogućava komandno-kontrolnom serveru da šalje komande svakom inficiranom računaru da bi T9000 mogao da kreira, briše i premešta fajlove i direktorijume, da šifruje podatke i kopira clipboard.
T9000 je profesionalni alat za sajber špijunažu, smatraju u Palo Alto Networks. Njegov prethodnik, T5000, je povezivan sa grupom Admin@338, povezanom sa kineskom sajber armijom. Decembra prošle godine, grupa Admin@338 APT je povezivana sa kampanjom distribucije malvera u kojoj su korišćeni Dropbox nalozi unutar kojih su sakrivani C&C serveri.

Izdvojeno
Lažni PDF editori u Google oglasima kriju malver TamperedChef

Istraživači iz Truesec-a i G DATA otkrili su novu kampanju sajber kriminalaca koji koriste Google oglase da bi usmerili žrtve na lažne sajtove gde... Dalje
Lažni imejlovi instaliraju malver UpCrypter na Windows računarima

FortiGuard Labs, istraživački tim kompanije Fortinet, otkrio je novu globalnu kampanju koja preko phishing mejlova širi malver UpCrypter. Ovaj malv... Dalje
PromptLock: era AI ransomware-a je počela

Istraživači iz kompanije ESET otkrili su prvi AI ransomware, prototip nazvan PromptLock, koji koristi model Open AI za generisanje skripti koje cilj... Dalje
Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike

Iako se često misli da su Mac računari bezbedniji od Windowsa, nova kampanja koju je otkrio CrowdStrike pokazuje da su i macOS korisnici sve češć... Dalje
Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje
Pratite nas
Nagrade