Modularer Backdoor-Trojaner T9000 nimmt Skype-User ins Visier

Palo Alto Networks entdeckt komplexe Anti-Analyse-Technik zur Verschleierung

(PresseBox) ( Santa Clara, )
Eine neue Gefahr für Skype-Nutzer meldet Palo Alto Networks. Die meisten gängigen Backdoor-Trojaner, die von Angreifern verwendet werden, verfügen über begrenzte Funktionalität. Sie entziehen sich der Erkennung, indem sie ihren Code einfach halten und „unter dem Radar fliegen“. Nun aber fanden die Malware-Forscher von Palo Alto Networks einen aktiven Backdoor-Trojaner, der einen ganz anderen Ansatz verfolgt. Sie bezeichneten diese Backdoor als T9000, eine neuere Variante der T5000-Malware-Familie, die auch als „Plat1“ bekannt ist.

Zusätzlich zu den grundlegenden Funktionen, die alle Backdoor-Trojaner bieten, ermöglicht es T9000 dem Angreifer, verschlüsselte Daten zu erfassen, Screenshots von speziellen Anwendungen anzufertigen und speziell Skype-Nutzer ins Visier zu nehmen. Die Malware identifiziert 24 Sicherheitsprodukte, die möglicherweise auf einem System aktiv sind und passt seinen Installationsmechanismus an, um sich gezielt denjenigen zu entziehen, die installiert sind. Die Malware verwendet einen mehrstufigen Installationsprozess mit spezifischen Checks an jedem Punkt, um herauszufinden, ob sie der Analyse durch einen Sicherheitsexperten unterzogen wird.

 

Die primäre Funktion dieses Tools ist es, Informationen über die Opfer zu sammeln. Der Malware-Autor sorgt dafür, dass wichtige Dateien, die vom Trojaner erfasst werden, in einem Verzeichnis mit dem Namen „Intel“ gespeichert werden. T9000 ist so konfiguriert, dass er automatisch Daten über das infizierte System erfasst und Dateien eines bestimmten Typs, die auf einem Wechselmedium gespeichert sind, stiehlt.

 

Die Forscher von Palo Alto Networks haben T9000 bei mehreren gezielten Angriffen gegen Unternehmen beobachtet. Allerdings zeigt die Malware-Funktionalität, dass das Tool für den Einsatz gegen ein breites Spektrum von Anwendern gedacht ist, insbesondere Skype-Nutzer. Im aktuellen Bericht seines Forschungszentrums beschreibt Palo Alto Networks konkret eine Analyse der einzelnen Phasen des Ausführungsablaufs von T9000, die vermutlich neueste Version dieses Trojaners.

 

Der Autor dieses Backdoor-Trojaners hat große Anstrengungen unternommen, um zu vermeiden, erkannt zu werden sich der Überwachung durch Malware-Analyse-Community zu entziehen. Indem Palo Alto Networks diese detaillierten Erkenntnisse einschließlich der Indikatoren teilt, hofft das Sicherheitsunternehmen, anderen zu helfen, sich gegen Angriffe zu verteidigen. Kunden von Palo Alto Networks sind vor Angriffen durch T9000 und T5000 geschützt durch die Next-Generation-Sicherheitsplattform des Unternehmens.

 

· Threat-Prevention-Signaturen für die im Bericht aufgeführten Softwareschwachstellen sind verfügbar, um die Exploit-Dateien während der Auslieferung zu erkennen.

· Der Abo-Dienst Traps für erweiterten Endpunkt-Schutz ist in der Lage, eine Ausnutzung von Schwachstellen zur Installation von T9000 zu verhindern.

· Die Cloud-basierte Architektur von WildFire klassifiziert sämtliche Malware, die in dem Bericht aufgeführt wird, als bösartig.

· Benutzer des Präventionsdienstes AutoFocus können die im Bericht genannte Malware anhand des Tags T5000 identifizieren.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.