Casa > cibernético Notícias > T9000 – o Backdoor avançada que Atividade Captura Skype
CYBER NEWS

T9000 – o Backdoor avançada que Atividade Captura Skype

Você já ouviu, ou pior - experimentaram, o T5000 secreto que foi detectado em 2013 e 2014? Se você é um ativista de direitos humanos, um funcionário do governo ou um empregado da indústria automobilística na Ásia-Pacífico, chances são você foi infectado pelo malware T5000 sofisticado.

Aprender mais sobre Backdoors APT

Infelizmente, uma pesquisa recente da Palo Alto Networks, a mesma empresa de segurança que primeiro analisou o T5000 família de malware (também conhecido como Plat1), indica que o backdoor tem uma nova versão.

Conheça T9000 - o Backdoor que visa usuários do Skype

T9000-backdoor-malware-sensorstechforum
Como já foi dito, os T9000 aparece de malware para ser uma nova versão do T5000. T9000 foi flagrada sendo distribuído via Spear phishing e-mails dentro os EUA. Pelo visto, embora certas organizações Atualmente no alvo, a peça é bastante adaptável para ser usado em várias campanhas contra vários alvos.

T9000 é não só capaz de voar sob o radar e detecção evadir, Duas características presentes na maioria dos backdoors avançados. T9000 também é capaz de capturar dados criptografados, fazer capturas de tela e direcionar especificamente os usuários do Skype. Todo o processo de instalação do malware passa por 4 estágios, e muito esforço foi feito para evitar a detecção e qualquer análise de segurança contínua.

além do que, além do mais, o malware é preciso o suficiente para identificar 24 produtos antimalware em potencial que podem estar sendo executados no sistema de destino:

  • Sophos
  • INCAInternet
  • DoctorWeb
  • Baidu
  • Comodo
  • TrustPortAntivirus
  • GData
  • AVG
  • BitDefender
  • VirusChaser
  • McAfee
  • Panda
  • Trend Micro
  • Kingsoft
  • Norton
  • Microponto
  • Filseclab
  • AhnLab
  • JiangMin
  • Tencent
  • Avira
  • Kaspersky
  • Aumentar
  • 360

Os produtos anti-malware mencionados acima são incluídos por meio de um valor binário que é combinado com quaisquer outros produtos de segurança. Conforme explicado por pesquisadores de Palo Alto, os seguintes números representam cada produto de segurança respectivo.

0x08000000 : Sophos
0x02000000 : INCAInternet
0x04000000 : DoctorWeb
0x00200000 : Baidu
0x00100000 : Comodo
0x00080000 : TrustPortAntivirus
0x00040000 : GData
0x00020000 : AVG
0x00010000 : BitDefender
0x00008000 : VirusChaser
0x00002000 : McAfee
0x00001000 : Panda
0x00000800 : Trend Micro
0x00000400 : Kingsoft
0x00000200 : Norton
0x00000100 : Microponto
0x00000080 : Filseclab
0x00000040 : AhnLab
0x00000020 : JiangMin
0x00000010 : Tencent
0x00000004 : Avira
0x00000008 : Kaspersky
0x00000002 : Aumentar
0x00000001 : 360

Dito, se Trend Micro e Sophos forem encontrados na máquina da vítima, o valor resultante será 0x08000800. O valor é então gravado no seguinte arquivo:

→%APPDATA% Intel avinfo

O processo de infecção é iniciado por arquivos RTF maliciosos. Duas vulnerabilidades específicas são exploradas:

CVE-2012-1856

De cve.mitre.org:

O controle TabStrip ActiveX nos controles comuns em MSCOMCTL.OCX no Microsoft Office 2003 SP3, Escritório 2003 Web Components SP3, Escritório 2007 SP2 e SP3, Escritório 2010 SP1, servidor SQL 2000 SP4, servidor SQL 2005 SP4, servidor SQL 2008 SP2, SP3, R2, R2 SP1, e R2 SP2, Commerce Server 2002 SP4, Commerce Server 2007 SP2, Commerce Server 2009 Ouro e R2, Host Integration Server 2004 SP1, Visual FoxPro 8.0 SP1, Visual FoxPro 9.0 SP2, e Visual Basic 6.0 O tempo de execução permite que atacantes remotos executem código arbitrário por meio de um (1) documento ou (2) página da web que desencadeia corrupção de estado do sistema, aka “Vulnerabilidade MSCOMCTL.OCX RCE.”

CVE-2015-1641

De cve.mitre.org:

Microsoft Word 2007 SP3, Escritório 2010 SP2, Palavra 2010 SP2, Palavra 2013 SP1, Palavra 2013 RT SP1, Word para Mac 2011, Pacote de compatibilidade com o Office SP3, Word Automation Services no SharePoint Server 2010 SP2 e 2013 SP1, e Office Web Apps Server 2010 SP2 e 2013 O SP1 permite que atacantes remotos executem código arbitrário por meio de um documento RTF elaborado, aka “Vulnerabilidade de corrupção de memória do Microsoft Office.”

Se tudo correr como planejado, uma vez instalado, T9000 irá coletar informações sobre o sistema, envie-o para o seu servidor de comando e controle, e marcar o sistema de destino para que seja diferenciado dos outros.
Assim que as máquinas infectadas forem registradas e as informações que podem ser roubadas forem identificadas, o servidor de comando e controle envia módulos específicos para cada destino.

Um desses módulos, ou plugins, foi considerado particularmente interessante:

tyeu.dat: enviar para espionar atividades do Skype; uma vez que o módulo está instalado e funcionando, na próxima vez que o Skype for iniciado, aparecerá uma mensagem dizendo que “explorer.exe deseja usar o Skype”.
tyeu.dat também pode:

Capture screenshots completos da área de trabalho
Capture screenshots da janela de processos direcionados
Capture o áudio do Skype, vídeo, e mensagens de bate-papo

T9000: Em conclusão

O avanço do malware backdoor T9000 é uma excelente prova de como os invasores mal-intencionados são determinados e bem financiados. Os autores do T9000 fizeram o possível para evitar serem detectados por fornecedores de antivírus e para evitar a investigação de engenheiros reversos. Felizmente, os pesquisadores de Palo Alto compartilharam publicamente sua vasta análise, que está disponível online. Ter um olhar para o todo Relatório Palo Alto Networks.

além do que, além do mais, gostaríamos de lembrar a todas as organizações como é importante resposta a incidentes é:

  • Preparação. As empresas devem educar seus funcionários e pessoal de TI sobre a importância de medidas de segurança atualizadas e treiná-los para responder a incidentes de segurança de computador e rede de maneira rápida e adequada.
  • Identificação. A equipe de resposta é sinalizada sempre que uma possível violação ocorre, e deve decidir se é um incidente de segurança ou outra coisa. A equipe é frequentemente aconselhada a entrar em contato com o Centro de Coordenação CERT, que rastreia e registra as atividades de segurança da Internet e coleta as informações mais recentes sobre vírus e worms.
  • Contenção. A equipe de resposta decide sobre a gravidade e extensão do problema. Desconectar todos os sistemas e dispositivos afetados para evitar maiores danos também é aplicado.
  • Erradicação. A equipe de resposta prossegue com a investigação para divulgar a origem do ataque. A causa raiz do problema e todos os restos de código malicioso são erradicados.
  • Recuperação. Dados e software são restaurados de arquivos de backup limpos, certificando-se de que nenhuma vulnerabilidade é deixada. Os sistemas são monitorados quanto a qualquer sinal de tendência a uma falha.
  • Lições aprendidas. A equipe de resposta analisa o ataque e a forma como ele foi tratado, e prepara recomendações para uma melhor resposta futura e para o bem da prevenção de incidentes.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

1 Comente
  1. Erinn Krauss

    Você pode usar um monte de aplicativos para espionar alguém, mesmo sem alguns backdoors

    Resposta

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo