Новый бэкдор для Skype похищает видео, аудио, сообщения и скриншоты
Новости Безопасность
Исследователи из Palo Alto Networks обнаружили непростой бэкдор, способный похищать из Skype видео, аудио, сообщения и скриншоты, сообщает «Лаборатория Касперского».
По данным экспертов, зловред T9000, являющийся последователем T5000, «прилагает большие усилия, чтобы оставаться незамеченным. Он относится к семейству Plat1 и применяется в целевых фишинговых атаках против ряда американских организаций. Кампании же являются делом рук APT-группировок, активизировавшихся в связи с исчезновением рейса MH370.
Для запуска процедуры установки T9000 пользователю нужно открыть вредоносный файл .rtf, полученный в фишинговом сообщении. Многоступенчатый процесс инсталляции позволяет зловреду избежать детектирования.
Сначала T9000 тщательно выявляет, установлена ли в системе одна из 24 программ обеспечения безопасности (Sophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising и 360), и уже после адаптирует процесс загрузки таким образом, чтобы обойти защиту.
На второй стадии загружается вредоносная DLL-библиотека, при этом бэкдор снова проверяет, какой из антивирусов может представлять для него угрозу. В зависимости от результатов проверки зловред применяет один из трех возможных сценариев для начала третьей фазы.
Сам вредоносный компонент загружается не раньше четвертой фазы, но даже тогда T9000 способен незаметно исчезнуть, не оставляя следов, если выявит в системе запущенные процессы антивирусных программ. Если же установка увенчалась успехом, имя пользователя и версия ОС отправляются на удаленный сервер, с которого, в свою очередь, загружаются модули, позволяющие злоумышленникам похищать данные.
Первый из них делает скриншоты экрана каждые 20 секунд и собирает информацию из Skype. Если Skype запущен, злоумышленник обманом заставляет жертву предоставить разрешение на доступ к Skype исполняемому файлу explorer.exe, иначе атака не сработает. В случае успеха атакующий получает возможность записи аудио- и видеозвонков и сбора текстовых сообщений.
Но этим T9000 не ограничивается: хозяйничая на компьютере жертвы, он крадет документы формата .doc, .ppt, .xls, .docx, .pptx, .xlsx, в том числе со съемных дисков. За это отвечает другой плагин — FlaskDiskThief.
Третий плагин нужен для ведения журнала изменений файлов: вредоносный компонент отслеживает, когда файл был создан, копирован, перемещен или удален. По мнению исследователей, атакующим нужны эти данные, чтобы изучить поведение жертвы, что в конечном итоге может дать им полезные сведения для «углубления» атаки.
В Palo Alto уже опубликовали список индикаторов атаки и надеются, что в ближайшее время появится способ противостоять зловреду, а пока советуют пользователям быть особо внимательными, так как ключевым элементом атаки является согласие пользователя дать соответствующие разрешения вредоносному приложению.
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
