Χρησιμοποιείτε το Skype; Ένα νέο trojan που άρχισε να κυκλοφορεί έρχεται εξοπλισμένο με χαρακτηριστικά που του επιτρέπουν να υποκλέψει αρχεία, να πάρει screenshots, και να καταγράψει συνομιλίες από το Skype.
Το trojan, ονομάζεται T9000, είναι μια εξέλιξη της παλαιότερης έκδοσης T5000, που εντοπίστηκε στο διαδίκτυο το 2013 και το 2014. Την εποχή εκείνη είχε σαν στόχο ακτιβιστές ανθρωπίνων δικαιωμάτων, αυτοκινητοβιομηχανίες, και κυβερνήσεις στην περιοχή της Ασίας-Ειρηνικού.
Αυτή τη φορά, οι ερευνητές της Palo Alto Networks αναφέρουν ότι το νέο T9000 εντοπίστηκε σε phishing emails των ΗΠΑ, και ότι είναι αρκετά ευέλικτο ούτως ώστε να μπορεί χρησιμοποιηθεί εναντίον οποιουδήποτε στόχου που θέλει να παραβιάσει κάποιος επιτιθέμενος.
Το κακόβουλο λογισμικό μολύνει τους υπολογιστές μέσω κακόβουλων αρχείων .RTF που εκμεταλλεύονται τα τρωτά σημεία CVE-2012-1856 και CVE-2015-1641 για να εισέλθουν στον υπολογιστή του χρήστη.
Σε σύγκριση με την προηγούμενη έκδοση του, το T9000 είναι πολύ πιο περίπλοκο. Οι ερευνητές ασφαλείας που το ανέλυσαν αναφέρουν ότι οι προγραμματιστές του κακόβουλου λογισμικού έχουν προσπαθήσει πολύ για να αποφύγουν κάθε εντοπισμό από anti-virus.
To T9000 διαθέτει μια διαδικασία εγκατάστασης πολλαπλών σταδίων, η οποία ελέγχει πριν από κάθε φάση για την εργαλείων ανάλυσης από 24 προϊόντα ασφαλείας, όπως: Sophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, Jiangmin, Tencent, Avira, Kaspersky, Rising, και Qihoo 360.
Έτσι αποφεύγει τον εντοπισμό. Μετά την εγκατάσταση του, το κακόβουλο λογισμικό αρχίζει να συλλέγει τις πρώτες πληροφορίες από το μολυσμένο σύστημα και τις στέλνει σε ένα εξυπηρετητή C&C (διακομιστή ή server διοίκησης και ελέγχου).
Όταν ο μολυσμένος υπολογιστής εντοπιστεί και καταγραφεί, στον διακομιστής C&C, θα αρχίσει με την αποστολή ειδικών modules για κάθε στόχο, με βάση τις πληροφορίες που έλαβε. Οι ερευνητές της Palo Alto εντόπισαν τρία βασικά modules.
To πιο σημαντικό από αυτά (tyeu.dat) είναι υπεύθυνο για την καταγραφή όλων των συνομιλιών που πραγματοποιούνται στο Skype συνομιλίες. Από τη στιγμή που το συγκεκριμένο module κατέβηκε στον μολυσμένο υπολογιστή, την επόμενη φορά που ο χρήστης θα ξεκινήσει το Skype, θα εμφανιστεί ένα μήνυμα στο επάνω μέρος του παραθύρου του αναφέρει ότι: “ο explorer.exe θέλει να χρησιμοποιήσει το Skype».
Το μήνυμα εμφανίζεται επειδή το trojan ζητάει πρόσβαση στο API του Skype. Οι χρήστες που συμφωνούν να επιτρέψουν στον “explorer.exe” για να αλληλεπιδράσει με το Skype δίνουν στην πραγματικότητα όλα τα δικαιώματα που χρειάζεται το T9000 για να τους κατασκοπεύει.
Το T9000 καταγράφει τις συνομιλίες ήχου, τα βίντεο, μαζί με τα chats κείμενου, λαμβάνοντας επίσης τακτικά και screenshots από τις video-κλήσεις.
Το δεύτερο module του T9000 (vnkd.dat), φορτώνεται μόνο όταν ο επιτιθέμενος θέλει να κλέψει αρχεία από τον υπολογιστή του θύματος. Το module μπορεί να υποκλέψει αρχεία από τον δίσκο και από τις τοπικές αφαιρούμενες συσκευές αποθήκευσης με επεκτάσεις όπως doc, ppt, xls, docx, pptx, και xlsx.
Το πιο “αθώο” module είναι το qhnj.dat, το οποίο είναι υπεύθυνο για την επικοινωνία του μολυσμένου υπολογιστή με τον διακομιστή C&C.
Όσοι ενδιαφέρονται μπορούν να διαβάσουν την πλήρη ανάλυση στη σελίδα της Palo Alto