Бекдор для Skype викрадає дані

Дослідники Palo Alto Networks виявили бекдор, здатний викрадати з Skype відео, аудіо, повідомлення та скріншоти.

За даними експертів, зловредів T9000, докладає великих зусиль, щоб залишатися непоміченим. Він відноситься до сімейства Plat1 і застосовується в фішингових атаках проти ряду американських організацій.

Для запуску процедури установки T9000 користувачеві потрібно відкрити шкідливий файл .rtf, отриманий в фішинговому повідомленні. Багатоступінчастий процес інсталяції дозволяє зловреду уникнути детектування.

Спочатку T9000 ретельно виявляє, чи встановлена ​​в системі одна з 24 програм забезпечення безпеки (Sophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising і 360), і вже після адаптує процес завантаження таким чином, щоб обійти захист.

На другій стадії завантажується шкідлива DLL-бібліотека, при цьому бекдор знову перевіряє, який з антивірусів може представляти для нього загрозу. Залежно від результатів перевірки зловред застосовує один з трьох можливих сценаріїв для початку третьої фази. Сам шкідливий компонент завантажується не раніше четвертої фази, але навіть тоді T9000 здатний непомітно зникнути, не залишаючи слідів, якщо виявить у системі запущені процеси антивірусних програм. Якщо ж установка увінчалася успіхом, ім'я користувача і версія ОС відправляються на віддалений сервер, з якого, в свою чергу, завантажуються модулі, що дозволяють зловмисникам викрадати дані.

Перший з них робить скріншоти екрану кожні 20 секунд і збирає інформацію з Skype. Якщо Skype запущений, зловмисник обманом змушує жертву надати дозвіл на доступ до Skype виконуваного файлу explorer.exe, інакше атака не спрацює. У разі успіху атакуючий отримує можливість записати відео і відеодзвінків і збору текстових повідомлень.

Але цим T9000 не обмежується: він краде документи формату .doc, .ppt, .xls, .docx, .pptx, .xlsx, в тому числі зі знімних дисків. За це відповідає інший плагін - FlaskDiskThief.

Третій плагін потрібен для ведення журналу змін файлів: шкідливий компонент відстежує, коли файл був створений, копіювати, переміщено або видалено.

На думку дослідників, атакуючим потрібні ці дані, щоб вивчити поведінку жертви, що в кінцевому підсумку може дати їм корисні відомості для «поглиблення» атаки. В Palo Alto вже опублікували список індикаторів атаки і сподіваються, що найближчим часом з'явиться спосіб протистояти зловреду, а поки радять користувачам бути особливо уважними, оскільки ключовим елементом атаки є згода користувача дати відповідні дозволи шкідливому додатком.