В сети появился новый троян, способный красть у пользователей файлы, делать скриншоты и вести видеозапись общения в Скайпе. Троян называется T9000, представляя собой модификацию версии T5000 2013-14 годов, нацеленной на правозащитников, автомобильную промышленность и правительства некоторых стран Азиатско-Тихоокеанского региона.
На этот раз исследователи из Palo Alto Networks обнаружили T9000 в фишинговых электронных письмах, получателями которых являются различные организации в США, но это универсальное приложение, способное работать против любой цели. Заражение происходит через файлы формата RTF, используя уязвимости CVE-2012-1856 и CVE-2015-1641.
По сравнению с прошлой версией T9000 намного изощрённее, всеми силами стараясь избежать обнаружения. T9000 использует многоуровневый процесс установки, перед каждым этапом проверяя наличие антивирусных инструментов, таких как Sophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising и Qihoo 360.
Если проверка пройдена, после собирается информация о системе и отправляется на удалённый сервер, так что хакеры могут отличать одну цель от другой. Основной урон наносят три модуля, устанавливаемые на компьютеры в зависимости от того, какая на них есть информация, заинтересовавшая злоумышленников.
Наиболее важен модуль tyeu.dat, шпионящий за общением в Скайпе. При запуске приложения в нём появляется сообщение explorer.exe wants to use Skype. Таким образом вирус показывает себя и любезно просит разрешения начать шпионить за пользователем. Если дать ему разрешение, он может записывать переписку, аудио и видеообщение.
Модуль vnkd.dat предназначен для кражи файлов с компьютера. Данные могут быть украдены в том числе с внешних устройств, к их числу относятся файлы с расширениями doc, ppt, xls, docx, pptx и xlsx. Модуль qhnj.dat позволяет серверу передавать на компьютер команды с возможностью создавать, перемещать и удалять файлы и папки, зашифровывать данные, копировать содержимое буфера обмена.
Ранее троян T5000 связывали с группировкой Admin@338, считающейся неофициальной кибер-армией Китая.