Бэкдор для Skype похищает данные

641c2a7445ea4e72920c74a076b869bc.jpg

Исследователи Palo Alto Networks обнаружили бэкдор, способный похищать из Skype видео, аудио, сообщения и скриншоты.
По данным экспертов, зловред T9000, прилагает большие усилия, чтобы оставаться незамеченным. Он относится к семейству Plat1 и применяется в фишинговых атаках против ряда американских организаций.

Для запуска процедуры установки T9000 пользователю нужно открыть вредоносный файл .rtf, полученный в фишинговом сообщении. Многоступенчатый процесс инсталляции позволяет зловреду избежать детектирования.
Сначала T9000 тщательно выявляет, установлена ли в системе одна из 24 программ обеспечения безопасности (Sophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising и 360), и уже после адаптирует процесс загрузки таким образом, чтобы обойти защиту.
На второй стадии загружается вредоносная DLL-библиотека, при этом бэкдор снова проверяет, какой из антивирусов может представлять для него угрозу. В зависимости от результатов проверки зловред применяет один из трех возможных сценариев для начала третьей фазы. Сам вредоносный компонент загружается не раньше четвертой фазы, но даже тогда T9000 способен незаметно исчезнуть, не оставляя следов, если выявит в системе запущенные процессы антивирусных программ. Если же установка увенчалась успехом, имя пользователя и версия ОС отправляются на удаленный сервер, с которого, в свою очередь, загружаются модули, позволяющие злоумышленникам похищать данные.

Первый из них делает скриншоты экрана каждые 20 секунд и собирает информацию из Skype. Если Skype запущен, злоумышленник обманом заставляет жертву предоставить разрешение на доступ к Skype исполняемому файлу explorer.exe, иначе атака не сработает. В случае успеха атакующий получает возможность записи аудио- и видеозвонков и сбора текстовых сообщений.
Но этим T9000 не ограничивается: он крадет документы формата .doc, .ppt, .xls, .docx, .pptx, .xlsx, в том числе со съемных дисков. За это отвечает другой плагин — FlaskDiskThief.
Третий плагин нужен для ведения журнала изменений файлов: вредоносный компонент отслеживает, когда файл был создан, копирован, перемещен или удален.

По мнению исследователей, атакующим нужны эти данные, чтобы изучить поведение жертвы, что в конечном итоге может дать им полезные сведения для «углубления» атаки. В Palo Alto уже опубликовали список индикаторов атаки и надеются, что в ближайшее время появится способ противостоять зловреду, а пока советуют пользователям быть особо внимательными, так как ключевым элементом атаки является согласие пользователя дать соответствующие разрешения вредоносному приложению.

Больше информации:

www.networkworld.com/article/3030700/security/t9000-skype-backdoor-malware-steals-audio-video-chats-screenshots-documents.html
researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques

© Habrahabr.ru