Backdoor-Trojaner T9000 lauscht bei Skype-Telefonaten mit
Davor hat jetzt Palo Alto Networks gewarnt. Das Schadprogramm verwendet einen mehrstufigen Installationsprozess, um sich möglichst der Entdeckung durch Sicherheitssoftware zu entziehen. Bislang kam T9000 ausschließlich bei zielgerichteten Attacken gegen US-Organisationen zum Einsatz.
Palo Alto Networks hat vor einem Trojaner gewarnt, der sowohl Skype-Anrufe mitschneiden als auch Screenshots von Videotelefonaten erstellen kann. Die Schadsoftware mit dem Namen T9000 ist überdies in der Lage, sich der Entdeckung durch gebräuchliche Sicherheitssoftware zu entziehen.
Die Experten des Sicherheitsanbieters beschreiben T9000 als eine neue Variante der Schädlingsfamilie T5000. Das Ungewöhnliche an ihr sei, dass sie insgesamt 24 Sicherheitsanwendungen erkenne, wenn eine davon auf einem System installiert ist. Ein mehrstufiger Installationsvorgang prüfe nämlich, ob im Hintergrund Sicherheitskontrollen durchgeführt werden. Die Schadsoftware habe hierbei die Eigenschaft, sich an einzelne Sicherheitsprodukte, aber auch an Betriebssysteme anzupassen.
Verbreitet wird T9000 über speziell präparierte Dokumente im Rich Text Format (RTF). Diese enthalten Exploits für die bekannten Schwachstellen mit den Kennungen CVE-2012-1856 und CVE-2015-1641. Hat T9000 ein System infiziert, spioniert es Audio- und Videotelefonate sowie Chat-Nachrichten aus und legt alle gesammelten Daten in einem eigenen Verzeichnis mit dem Namen “Intel” ab.
“Das primäre Ziel ist es, Informationen über das Opfer zu sammeln”, schreiben die Sicherheitsforscher Josh Grunzweig und Jen Miller-Osborn in einem Blogbeitrag von Palo Alto Networks. “T9000 ist vorkonfiguriert, um automatisch Daten über das infizierte System zu sammeln und bestimmte Dateitypen, die auf Wechseldatenträgern gespeichert wurden, zu stehlen.”
Eine Infektion mit dem Trojaner sollen Anwender daran erkennen können, dass die “explorer.exe” fragt, ob sie Skype benutzen darf. Dadurch wird ein Prozess gestartet, der es der Malware erlaubt, Skype-Gespräche und Nachrichten aufzuzeichnen.
Bislang wurde T9000 nur bei zielgerichteten Attacken gegen Organisationen in den USA eingesetzt. Die Schadsoftware sei jedoch in der Lage, Netzwerke weltweit anzugreifen, schreiben die Forscher weiter. Die Analyse des Schädlings habe man veröffentlicht, um seine weitere Ausbreitung zu verhindern.
“Der Autor der Backdoor hat einen großen Aufwand betrieben, um nicht entdeckt zu werden und den Untersuchungen der Sicherheits-Community zu entgehen”, heißt es weiter. “Wir hoffen, dass die Veröffentlichung der Details über die Funktionsweise dieses Tools anderen helfen wird, sich gegen Angriffe mit dem Tool zu schützen.”
Zu den möglichen Hintermännern von T9000 macht Palo Alto Networks keine Angaben. Dessen 2014 entdeckter Vorgänger T5000 versprach seinen Opfern in einer E-Mail Informationen über das Verschwinden des Malaysia-Airlines-Flugs MH370. Die Analyse von T5000 förderte schließlich mögliche Verbindungen zu von der chinesischen Regierung unterstützten Hackern zutage.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de