Trojanac T9000 špijunira korisnike Skypea

Opisi virusa, 08.02.2016, 01:00 AM

Istraživači iz firme Palo Alto Networks otkrili su novog backdoor trojanca nazvanog T9000 koji je nova verzija poznatog malvera T5000, poznatog i pod nazivom Plat1, koji je otkriven 2013. godine.

Pored osnovnih funkcionalnosti koje imaju svi backdoor trojanci, T9000 omogućava napadačima da snimaju šifrovane podatke, prave snimke određenih aplikacija i da snimaju razgovore korisnika Skypea.

Osim toga, T9000 može da identifikuje čak 24 antivirusa koji rade na sistemu i da svoj mehanizam instalacije prilagodi tako da izbegne detekciju antivirusa koji je instaliran na računaru. Proces instalacije malvera odvija se u nekoliko etapa a u svakoj od njih malver proverava da li je eventualno podvrgnut analizi stručnjaka.

Primarna funkcionalnost T9000 je prikupljanje informacija o žrtvi. Malver je prekonfigurisan tako da automatski snima podatke o inficiranom sistemu i krade fajlove određenog tipa sa prenosnih uređaja za skladištenje podataka.

Istraživači Palo Alto Networks posmatrali su malver dok je on korišćen u ciljanim napadima na organizacije u SAD koji su otpočinjali fišing emailovima koji su pristizali na email adrese američkih organizacija. Međutim, oni kažu da funkcionalnost malvera ukazuje da je reč o alatu koji nije predviđen isključivo za ciljane napade.

Malver inficira računare pomoću RTF fajlova koji sadrže exploite za bezbednosne propuste CVE-2012-1856 i CVE-2015-1641.

U poređenju sa prethodnom verzijom, T9000 je mnogo komplikovaniji. Pre svega, autori malvera su uložili mnogo truda da bi malver mogao da izbegne detekciju antivirusa.

U svakoj fazi instalacije, a ima ih nekoliko, malver proverava eventualno prisustvo alata za analizu malvera, kao i nekog od 24 antivirusa sledećih proizvođača: Sophos, INCAInternet, Doctor Web, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising i Qihoo 360.

Kada se završe sve interne provere, posle instalacije, malver prikuplja informacije o zaraženom sistemu i šalje ih komandno-kontrolnom serveru da bi označio cilj napada i da bi se žrtve mogle razlikovati.

Kada se završi identifikacija cilja, C&C server šalje određene module svakom cilju, na osnovu toga koje su informacije pronađene a koje malver može da ukrade. Istraživači su za sada identifikovali tri glavna modula.

Najvažniji među njima, tyeu.dat, je odgovoran za špijuniranje razgovora korisnika Skypea. Kada se ovaj modul preuzme i pokrene, on čeka da korisnik pokrene Skype. Kada pokrene Skype, žrtva će videti sledeću poruku na ekranu: “explorer.exe wants to use Skype”. Ako žrtva klikne na “Allow access”, ona će time dati dozvolu trojancu T9000 da je špijunira.

Skype modul malvera može da snima i audio i video razgovore korisnika Skypea, ali i chat.

Drugi modul trojanca je vnkd.dat. On se učitava samo onda kada napadači žele da ukradu fajlove iz žrtvinog računara. Modul može da krade fajlove i sa prenosnih uređaja za skladištenje podataka, i to fajlove sa ekstenzijama kao što su doc, ppt, xls, docx, pptx i xlsx.

Treći modul malvera je qhnj.dat, koji omogućava komandno-kontrolnom serveru da šalje komande svakom inficiranom računaru da bi T9000 mogao da kreira, briše i premešta fajlove i direktorijume, da šifruje podatke i kopira clipboard.

T9000 je profesionalni alat za sajber špijunažu, smatraju u Palo Alto Networks. Njegov prethodnik, T5000, je povezivan sa grupom Admin@338, povezanom sa kineskom sajber armijom. Decembra prošle godine, grupa Admin@338 APT je povezivana sa kampanjom distribucije malvera u kojoj su korišćeni Dropbox nalozi unutar kojih su sakrivani C&C serveri.