CYBER NOTICIAS

T9000 – la puerta trasera avanzada que captura la actividad de Skype

Has oído, o peor - experimentaron, la puerta de atrás T5000 que se detectó en 2013 y 2014? Si usted es un activista de derechos humanos, un empleado del gobierno o un empleado de la industria automotriz en la región de Asia Pacífico, más probable es que se infectaron por el sofisticado software malicioso T5000.

Aprender más acerca de Las puertas traseras de la APT

Desafortunadamente, una reciente investigación de Palo Alto Networks, la misma empresa de seguridad que se analiza en primer lugar la familia de malware T5000 (también conocido como Plat1), indica que la puerta trasera tiene una nueva versión.

Conocer T9000 - la puerta trasera que tiene por objeto el usuario de Skype

T9000-puerta trasera-malware-sensorstechforum
Como acaba de decir, el malware T9000 parece ser una nueva versión del T5000. T9000 se ha visto que se distribuye a través de correos electrónicos de phishing de lanza dentro de los EE.UU.. Al parecer,, a pesar de que algunas organizaciones están actualmente en el blanco, la pieza es lo suficientemente flexible como para ser utilizado en diversas campañas contra diversos objetivos.

T9000 no sólo es capaz de volar bajo el radar y evadir la detección, dos características presentes en puertas traseras más avanzados. T9000 también es capaz de capturar datos cifrados, realizar capturas de pantalla y dirigido específicamente a los usuarios de Skype. Todo el proceso de instalación del malware pasa por 4 etapas, y una gran cantidad de esfuerzo se ha hecho para evitar la detección y cualquier análisis de seguridad en curso.

Adicionalmente, el malware es lo suficientemente precisa para identificar 24 potenciales productos anti-malware que se estén ejecutando en el sistema de destino:

  • Sophos
  • INCAInternet
  • DoctorWeb
  • Baidu
  • Cómodo
  • TrustPortAntivirus
  • GData
  • AVG
  • BitDefender
  • VirusChaser
  • McAfee
  • Panda
  • Trend Micro
  • Kingsoft
  • Norton
  • micropoint
  • Filseclab
  • AhnLab
  • jiangmin
  • Tencent
  • Avira
  • Kaspersky
  • Creciente
  • 360

Los productos anti-malware antes mencionados se incluyen a través de un valor binario que se combina con otros productos de seguridad. Según lo explicado por los investigadores de Palo Alto, los siguientes números representan cada producto de seguridad respectiva.

0x08000000 : Sophos
0x02000000 : INCAInternet
0x04000000 : DoctorWeb
0x00200000 : Baidu
0x00100000 : Cómodo
0x00080000 : TrustPortAntivirus
0x00040000 : GData
0x00020000 : AVG
0x00010000 : BitDefender
0x00008000 : VirusChaser
0x00002000 : McAfee
0x00001000 : Panda
0x00000800 : Trend Micro
0x00000400 : Kingsoft
0x00000200 : Norton
0x00000100 : micropoint
0x00000080 : Filseclab
0x00000040 : AhnLab
0x00000020 : jiangmin
0x00000010 : Tencent
0x00000004 : Avira
0x00000008 : Kaspersky
0x00000002 : Creciente
0x00000001 : 360

Dicho esto, si ambos Trend Micro y Sophos se encuentran en un equipo de la víctima, el valor resultante será 0x08000800. El valor se escribe en el archivo siguiente:

→%APPDATA% Intel AVInfo

El proceso de infección se inicia por los archivos RTF maliciosos. Dos vulnerabilidades particulares son explotados:

CVE-2012-1856

De cve.mitre.org:

El control ActiveX de TabStrip en los controles comunes en MSCOMCTL.OCX en Microsoft Office 2003 SP3, Oficina 2003 Componentes Web SP3, Oficina 2007 SP2 y SP3, Oficina 2010 SP1, servidor SQL 2000 SP4, servidor SQL 2005 SP4, servidor SQL 2008 SP2, SP3, R2, R2 SP1, y R2 ​​SP2, commerce Server 2002 SP4, commerce Server 2007 SP2, commerce Server 2009 Oro y R2, Host Integration Server 2004 SP1, visual FoxPro 8.0 SP1, visual FoxPro 9.0 SP2, y Visual Basic 6.0 Tiempo de ejecución permite a atacantes remotos ejecutar código arbitrario a través de un elaborado (1) documento o (2) página web que desencadena la corrupción del sistema estatal, aka “La vulnerabilidad MSCOMCTL.OCX RCE.”

CVE-2015-1641

De cve.mitre.org:

Microsoft Word 2007 SP3, Oficina 2010 SP2, Palabra 2010 SP2, Palabra 2013 SP1, Palabra 2013 RT SP1, Word para Mac 2011, Paquete de compatibilidad de SP3, Servicios de automatización de Word en SharePoint Server 2010 SP2 y 2013 SP1, y el Servidor de Aplicaciones Web de Office 2010 SP2 y 2013 SP1 permite a atacantes remotos ejecutar código arbitrario a través de un documento RTF hecho a mano, aka “Una vulnerabilidad de Microsoft Office daños en la memoria.”

Si todo va según lo previsto, una vez instalado, T9000 recogerá información sobre el sistema de, enviarlo a su servidor de comando y control, y marcar el sistema de destino de modo que se distingue de los demás.
Una vez que las máquinas infectadas se registran y la información que puede ser robado se identifica, el servidor de comando y control envía módulos específicos para cada objetivo.

Uno de estos módulos, o plugins, se ha encontrado que es particularmente interesante:

tyeu.dat: enviar a espiar a las actividades de Skype; una vez que el módulo está instalado y en ejecución, la próxima vez que se inicie Skype, aparecerá un mensaje diciendo que "explorer.exe quiere utilizar Skype".
tyeu.dat puede OOK:

Realizar capturas de pantalla de escritorio completos
Realizar capturas de pantalla de la ventana de procesos específicos
Capturar el audio de Skype, vídeo, y los mensajes de chat

T9000: En conclusión

El avance del malware de puerta trasera T9000 es una excelente prueba de lo determinado y los atacantes maliciosos son bien financiadas. Los autores de T9000 han hecho todo lo posible para evitar ser detectados por los vendedores de AV y para evadir la investigación de ingeniería inversa. Por suerte, los investigadores de Palo Alto han compartido públicamente su gran análisis que está disponible en línea. Echar un vistazo a la totalidad informe de Palo Alto Networks.

Adicionalmente, nos gustaría recordar a todas las organizaciones por ahí la importancia respuesta al incidente es:

  • Preparación. Las empresas deben educar a sus empleados y el personal de TI de la importancia de las medidas de seguridad actualizados y capacitarlos para responder a incidentes informáticos y de seguridad de la red de una manera rápida y adecuada.
  • Identificación. El equipo de respuesta se señala cada vez que una posible infracción tiene lugar, y debe decidir si se trata de un incidente de seguridad o algo más. El equipo se recomienda a menudo para ponerse en contacto con el Centro de Coordinación CERT, que rastrea y registra las actividades de seguridad de Internet y recopila la información más reciente sobre los virus y gusanos.
  • Contención. El equipo de respuesta decide sobre la gravedad y la duración de la emisión. Desconexión de todos los sistemas y dispositivos afectados para evitar daños mayores también se aplica.
  • Erradicación. El equipo de respuesta continúa con la investigación para revelar el origen del ataque. La causa raíz del problema y todas las sobras de códigos maliciosos se erradicó.
  • Recuperación. Los datos y el software se restablecen a partir de archivos de copia de seguridad limpias, asegurándose de que no hay vulnerabilidades se dejan. Los sistemas son monitoreados para detectar cualquier signo de la propensión a una falla.
  • Lecciones aprendidas. El equipo de respuesta analiza el ataque y la forma en que fue tratado, y prepara recomendaciones para la mejor respuesta futuro y en aras de la prevención de incidentes.
Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum desde el comienzo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

1 Comentario

  1. avatarErinn Krauss

    Se puede utilizar el grupo de aplicaciones para espiar a alguien, incluso sin algunas puertas traseras

    Responder

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...