T9000: Modularer Backdoor-Trojaner nimmt Skype-User ins Visier

Palo Alto Networks entdeckt komplexe Anti-Analyse-Technik zur Verschleierung

[datensicherheit.de, 08.02.2016] Eine neue Gefahr für Skype-Nutzer meldet Palo Alto Networks. Die meisten gängigen Backdoor-Trojaner, die von Angreifern verwendet werden, verfügen über begrenzte Funktionalität. Sie entziehen sich der Erkennung, indem sie ihren Code einfach halten und „unter dem Radar fliegen“. Nun aber fanden die Malware-Forscher von Palo Alto Networks einen aktiven Backdoor-Trojaner, der einen ganz anderen Ansatz verfolgt. Sie bezeichneten diese Backdoor als T9000, eine neuere Variante der T5000-Malware-Familie, die auch als „Plat1“ bekannt ist.

Zusätzlich zu den grundlegenden Funktionen, die alle Backdoor-Trojaner bieten, ermöglicht es T9000 dem Angreifer, verschlüsselte Daten zu erfassen, Screenshots von speziellen Anwendungen anzufertigen und speziell Skype-Nutzer ins Visier zu nehmen. Die Malware identifiziert 24 Sicherheitsprodukte, die möglicherweise auf einem System aktiv sind und passt seinen Installationsmechanismus an, um sich gezielt denjenigen zu entziehen, die installiert sind. Die Malware verwendet einen mehrstufigen Installationsprozess mit spezifischen Checks an jedem Punkt, um herauszufinden, ob sie der Analyse durch einen Sicherheitsexperten unterzogen wird.

Die primäre Funktion dieses Tools ist es, Informationen über die Opfer zu sammeln. Der Malware-Autor sorgt dafür, dass wichtige Dateien, die vom Trojaner erfasst werden, in einem Verzeichnis mit dem Namen „Intel“ gespeichert werden. T9000 ist so konfiguriert, dass er automatisch Daten über das infizierte System erfasst und Dateien eines bestimmten Typs, die auf einem Wechselmedium gespeichert sind, stiehlt.

Die Forscher von Palo Alto Networks haben T9000 bei mehreren gezielten Angriffen gegen Unternehmen beobachtet. Allerdings zeigt die Malware-Funktionalität, dass das Tool für den Einsatz gegen ein breites Spektrum von Anwendern gedacht ist, insbesondere Skype-Nutzer. Im aktuellen Bericht seines Forschungszentrums beschreibt Palo Alto Networks konkret eine Analyse der einzelnen Phasen des Ausführungsablaufs von T9000, die vermutlich neueste Version dieses Trojaners.

Der Autor dieses Backdoor-Trojaners hat große Anstrengungen unternommen, um zu vermeiden, erkannt zu werden sich der Überwachung durch Malware-Analyse-Community zu entziehen. Indem Palo Alto Networks diese detaillierten Erkenntnisse einschließlich der Indikatoren teilt, hofft das Sicherheitsunternehmen, anderen zu helfen, sich gegen Angriffe zu verteidigen.