CYBER NEWS

T9000 – o Backdoor avançada que Atividade Captura Skype

Você já ouviu, ou pior - experimentaram, o T5000 secreto que foi detectado em 2013 e 2014? Se você é um ativista de direitos humanos, um funcionário do governo ou um empregado da indústria automobilística na Ásia-Pacífico, chances são você foi infectado pelo malware T5000 sofisticado.

Aprender mais sobre Backdoors APT

Infelizmente, uma pesquisa recente da Palo Alto Networks, a mesma empresa de segurança que primeiro analisou o T5000 família de malware (também conhecido como Plat1), indica que o backdoor tem uma nova versão.

Conheça T9000 - o Backdoor que visa usuários do Skype

T9000-backdoor-malware-sensorstechforum
Como já foi dito, os T9000 aparece de malware para ser uma nova versão do T5000. T9000 foi flagrada sendo distribuído via Spear phishing e-mails dentro os EUA. Pelo visto, embora certas organizações Atualmente no alvo, a peça é bastante adaptável para ser usado em várias campanhas contra vários alvos.

T9000 é não só capaz de voar sob o radar e detecção evadir, Duas características presentes na maioria dos backdoors avançados. T9000 também é capaz de capturar dados criptografados, taking screenshots and specifically targeting Skype users. The whole installation process of the malware goes through 4 stages, and a lot of effort has been made to avoid detection and any ongoing security analysis.

além do que, além do mais, the malware is accurate enough to identify 24 potential anti-malware products that may be running on the targeted system:

  • Sophos
  • INCAInternet
  • DoctorWeb
  • Baidu
  • Comodo
  • TrustPortAntivirus
  • GData
  • AVG
  • BitDefender
  • VirusChaser
  • McAfee
  • Panda
  • Trend Micro
  • Kingsoft
  • Norton
  • Micropoint
  • Filseclab
  • AhnLab
  • JiangMin
  • Tencent
  • Avira
  • Kaspersky
  • Aumentar
  • 360

The above mentioned anti-malware products are included via a binary value that is combined with any other security products. As explained by Palo Alto researchers, the following numbers represent each respective security product.

0x08000000 : Sophos
0x02000000 : INCAInternet
0x04000000 : DoctorWeb
0x00200000 : Baidu
0x00100000 : Comodo
0x00080000 : TrustPortAntivirus
0x00040000 : GData
0x00020000 : AVG
0x00010000 : BitDefender
0x00008000 : VirusChaser
0x00002000 : McAfee
0x00001000 : Panda
0x00000800 : Trend Micro
0x00000400 : Kingsoft
0x00000200 : Norton
0x00000100 : Micropoint
0x00000080 : Filseclab
0x00000040 : AhnLab
0x00000020 : JiangMin
0x00000010 : Tencent
0x00000004 : Avira
0x00000008 : Kaspersky
0x00000002 : Aumentar
0x00000001 : 360

Dito, if both Trend Micro and Sophos are found on a victim machine, the resulting value will be 0x08000800. The value is then written to the following file:

→%APPDATA%\Intel\avinfo

The infection process is started by malicious RTF files. Two particular vulnerabilities are exploited:

CVE-2012-1856

From cve.mitre.org:

The TabStrip ActiveX control in the Common Controls in MSCOMCTL.OCX in Microsoft Office 2003 SP3, Escritório 2003 Web Components SP3, Escritório 2007 SP2 e SP3, Escritório 2010 SP1, servidor SQL 2000 SP4, servidor SQL 2005 SP4, servidor SQL 2008 SP2, SP3, R2, R2 SP1, and R2 SP2, Commerce Server 2002 SP4, Commerce Server 2007 SP2, Commerce Server 2009 Ouro e R2, Host Integration Server 2004 SP1, Visual FoxPro 8.0 SP1, Visual FoxPro 9.0 SP2, e Visual Basic 6.0 Runtime allows remote attackers to execute arbitrary code via a crafted (1) document or (2) web page that triggers system-state corruption, aka “MSCOMCTL.OCX RCE Vulnerability.

CVE-2015-1641

From cve.mitre.org:

Microsoft Word 2007 SP3, Escritório 2010 SP2, Palavra 2010 SP2, Palavra 2013 SP1, Palavra 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server 2010 SP2 and 2013 SP1, and Office Web Apps Server 2010 SP2 and 2013 SP1 allow remote attackers to execute arbitrary code via a crafted RTF document, aka “Microsoft Office Memory Corruption Vulnerability.

If everything goes as planned, uma vez instalado, T9000 will collect information about the system, send it to its command and control server, and mark the targeted system so that it is distinguished from the others.
Once the infected machines are recorded and the information that can be stolen is identified, the command and control server sends specific modules to every target.

One of these modules, or plugins, has been found to be particularly interesting:

tyeu.dat: send to spy on Skype activities; once the module is installed and running, the next time Skype is started, a message will appear saying that “explorer.exe wants to use Skype”.
tyeu.dat can also:

Capture full desktop screenshots
Capture window screenshots of targeted processes
Capture Skype audio, vídeo, and chat messages

T9000: Em conclusão

The advancement of the T9000 backdoor malware is an excellent proof of how determined and well-funded malicious attackers are. The authors of T9000 have done their best to avoid being detected by AV vendors and to evade the investigation of reverse engineers. Felizmente, the researchers at Palo Alto have shared publicly their vast analysis which is available online. Ter um olhar para o todo Palo Alto Networks report.

além do que, além do mais, we would like to remind every organization out there how important incident response é:

  • Preparação. As empresas devem educar seus funcionários e pessoal de TI sobre a importância de medidas de segurança atualizadas e treiná-los para responder a incidentes de segurança de computador e rede de maneira rápida e adequada.
  • Identificação. A equipe de resposta é sinalizada sempre que uma possível violação ocorre, e deve decidir se é um incidente de segurança ou outra coisa. A equipe é frequentemente aconselhada a entrar em contato com o Centro de Coordenação CERT, que rastreia e registra as atividades de segurança da Internet e coleta as informações mais recentes sobre vírus e worms.
  • Contenção. A equipe de resposta decide sobre a gravidade e extensão do problema. Desconectar todos os sistemas e dispositivos afetados para evitar maiores danos também é aplicado.
  • Erradicação. The response team proceeds with the investigation to disclose the origin of the attack. A causa raiz do problema e todos os restos de código malicioso são erradicados.
  • Recuperação. Dados e software são restaurados de arquivos de backup limpos, certificando-se de que nenhuma vulnerabilidade é deixada. Os sistemas são monitorados quanto a qualquer sinal de tendência a uma falha.
  • Lições aprendidas. A equipe de resposta analisa o ataque e a forma como ele foi tratado, e prepara recomendações para uma melhor resposta futura e para o bem da prevenção de incidentes.
Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerenciador de conteúdo que foi com SensorsTechForum desde o início. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

1 Comente

  1. AvatarErinn Krauss

    You can use the bunch of applications to spy on someone even without some backdoors

    Resposta

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...