Злоумышленники осуществляют атаки на американские организации с помощью трояна Т9000

Исследователи Palo Alto Networks обнаружили вредоносное ПО, предназначенное для хищения данных с компьютеров жертв. Как сообщается в блоге компании, вредонос T9000 в настоящее время используется для осуществления атак против американских организаций.

T9000 – обновленный вариант вредоносного ПО T5000, принадлежащего к семейству Plat1. Данный вид вредоносов использовался в 2014 году для осуществления атак на американские организации. Как и T5000, T9000 распространяется с помощью инфицированных файлов RTF.

Вредонос устанавливается в несколько этапов, обходя большинство продуктов для защиты от вирусов. На первой стадии T9000 обнаруживает установленные антивирусы и изменяет собственный механизм инсталляции для избежания обнаружения. В коде вредоноса были найдены проверки на наличие антивирусов Sophos, INCAInternet, «Доктор Веб», Baidu, Comodo, TrustPort, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising и 360.

Во время второго этапа установки T9000 загружает вредоносную библиотеку и вновь проверяет, установлены ли на компьютере антивирусные продукты. В зависимости от результатов проверки используется один из трех специальных механизмов для запуска третьей стадии.

На окончательной, четвертой стадии установки Т9000 передает на C&C-сервер информацию об имени пользователя и версии ОС, а также загружает на компьютер вредоносные модули, предназначенные для хищения данных.

Первый модуль регулярно делает снимки экрана и похищает информацию. Если жертва использует Skype, вредонос отправляет запрос на доступ к приложению от имени explorer.exe. Поскольку запрос отсылается от имени легитимного системного процесса, пользователь обычно принимает запрос и позволяет T9000 получить доступ к программе. Вредонос записывает и отправляет на C&C-сервер всю полученную и переданную корреспонденцию.

Второй модуль под названием FlashDiskThief позволяет T9000 похищать файлы, передаваемые с помощью флеш-накопителей. Главной целью вредоноса являются документы с расширением .doc, .docx, .ppt, .pptx, .xls и .xlsx.

Третий плагин записывает все изменения в файловой системе, включая перемещения, копирования, удаления и переименовывания файлов. По мнению исследователей, модуль позволяет злоумышленникам подробно изучить действия жертвы.

Источник: securitylab.ru

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.