MALWARE T9000 : SALVA CONVERSAZIONI SKYPE E TUTTI I DATI DEL PC

0
2043

Il nuovo malware prende come obiettivo gli utenti Skype, salva Screenshots,i dati sui  dischi e le Conversazioni
Un nuovo Trojan backdoor è stato scoperto, purtroppo è dotato di caratteristiche avanzate e può rubare FILE, IMMAGINI catturare e registrare le conversazioni di Skype.

Il Trojan T9000 è una versione evoluta e più avanzata del vecchio T5000 backdoor Trojan.
T5000 è stato identificato nel 2013 e di nuovo nel 2014 e prendeva di mira l’industria automobilistica, attivisti dei diritti umani e dei governi dell’Asia Pacifico.

T9000 Trojan è stato scoperto da Palo Alto Networks, i ricercatori sostengono che è incorporato all’interno delle phishing email che vengono inviate alle organizzazioni negli Stati Uniti.
Tuttavia, i ricercatori ritengono che questo nuovo malware backdoor è così versatile che può essere utilizzato contro qualsiasi soggetto e gli hacker vogliono sfruttarlo al massimo.

I computer sono sempre colpiti da questo malware attraverso i file RTF maligni, che sfruttano la CVE-2012-1856 e le vulnerabilità CVE-2015-1641 per acquisire il controllo del PC di destinazione.

In confronto al T5000, il T9000 è molto più complesso ed i ricercatori della sicurezza che lo hanno analizzato, sostengono che questa volta gli autori del malware hanno messo in atto il massimo delle loro capacità per rendere non rilevabile il Trojan.

Il Trojan comporta una procedura di installazione più fasi; prima dell’inizio di ogni fase il malware controlla i software si controllo antivirus più comuni che includono: “Sophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, Jiangmin, Tencent , Avira, Kaspersky, Rising, e Qihoo 360. “

Dopo aver controllato tutto, il malware si instlla e conduce delle verifiche interne.
Raccoglie quindi le informazioni memorizzate sul sistema infetto e lo invia al server di comando e controllo.

Una volta che il computer è stato infettato, identificato e registrato, il server di comando e controllo invia moduli specifici per il dispositivo di destinazione in base alle informazioni che possono essere rubate.

Infatti, i ricercatori di Palo Alto hanno riscontrato che i danni maggiori delle attività del virus derivano dalla presenza di tra componentti vitali di cui uno è il tyeu.dat, che è il modulo più importante perché spia le conversazioni di Skype.

Quando questo modulo viene scaricato ed eseguito, l’utente riceverà questo messaggio “explorer.exe vuole usare Skype,” la prossima volta che lui / lei inizia a Skype come mostrato nella schermata qui sotto:

new-malware-targets-skype-users-saves-screenshots-records-conversations-2

Il motivo dietro la comparsa di questo messaggio è che il malware accede all’API Skype e la notifiche vengono visualizzate nella parte superiore.
Quindi, se gli utenti fanno clic sul pulsante Consenti e concorda sul fatto che il “explorer.exe” può interagire con Skype questo dà il permesso T9000 per spiare le attività di Skype dell’utente.

Modulo di spionaggio Skype del T9000 è così potente che registra le comunicazioni audio e video così come chat di testo e prende screenshot di videochiamate regolarmente.
Inoltre, può anche rubare dati e altri file da conversazioni di Skype.

new-malware-targets-skype-users-saves-screenshots-records-conversations-3

Vnkd.dat è il secondo modulo del T9000, che viene caricato quando l’autore della campagna di malware ha bisogno di rubare file dal computer.
Si può anche rubare i dati da dispositivi di archiviazione rimovibili locali che contiene queste estensioni: “doc, ppt, xls, docx, pptx, xlsx e.”

Tuttavia, il terzo è il modulo più innocuo fra tutti, ovvero il modulo qhnj.dat.
Questo modulo consente al server di comando e controllo per inviare comandi a tutti i computer di destinazione e istruire T9000 per generare file e directory, rimuovere / cancellare i file e le directory e anche spostare file e directory, crittografare i dati e ottenere Appunti dell’utente copiato.

A quanto pare, T9000 è uno strumento di cyber-spionaggio professionale.
In precedenza, il T5000 è stato collegato a un amministratore APT @ 338, le cui tracce sono state trovate nel cyber-esercito del governo cinese.
Nel mese di dicembre 2015, Admin @ 338 APT è stato individuato ad aver spinto una campagna di distribuzione di malware in cui sono stati utilizzati gli account Dropbox per ospitare i suoi server di comando e controllo.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.