Categories: SicherheitVirus

Trojaner T9000 zeichnet Skype-Gespräche auf

Palo Alto Networks hat einen Trojaner entdeckt, der Skype-Anrufe und auch Screenshots von Videotelefonaten aufzeichnen kann. Die T9000 genannte Malware ist zudem in der Lage, der Entdeckung durch viele gebräuchliche Sicherheitsanwendungen zu entgehen.

T9000 beschreiben die Forscher als eine neue Variante der Schädlingsfamilie T5000. Ungewöhnlich sei, dass sie insgesamt 24 Sicherheitsprodukte erkenne, falls sie auf einem System installiert sind. Ein mehrstufiger Installationsprozess prüfe, ob im Hintergrund Sicherheitskontrollen durchgeführt werden. Die Malware sei in der Lage, sich an einzelne Sicherheitslösungen und Betriebssysteme anzupassen.

Verbreitet wird T9000 über speziell präparierte Dokumente im Rich Text Format (RTF). Sie enthalten Exploits für die bekannten Schwachstellen mit den Kennungen CVE-2012-1856 und CVE-2015-1641. Hat T9000 ein System infiziert, späht es Audio- und Videotelefonate sowie Chat-Nachrichten aus und speichert alle gesammelten Daten in einem eigenen Verzeichnis mit dem Namen „Intel“.

„Das primäre Ziel ist es, Informationen über das Opfer zu sammeln“, schreiben die Sicherheitsforscher Josh Grunzweig und Jen Miller-Osborn im Blog von Palo Alto Networks. „T9000 ist vorkonfiguriert, um automatisch Daten über das infizierte System zu sammeln und bestimmte Dateitypen, die auf Wechseldatenträgern gespeichert wurden, zu stehlen.“

Eine Infektion mit dem Trojaner können Nutzer daran erkennen, dass die „explorer.exe“ fragt, ob sie Skype benutzen darf. Dadurch wird ein Prozess gestartet, der es der Malware erlaubt, Skype-Gespräche und Nachrichten aufzuzeichnen.

ANZEIGE

Die elektronische Signatur auf dem Vormarsch – Wie Unternehmen Prozesse verschlanken und Geld sparen können

Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.

Bisher wurde T9000 nur bei zielgerichteten Angriffen gegen Organisationen in den USA eingesetzt. Die Schadsoftware sei allerdings in der Lage, Netzwerke weltweit anzugreifen, schreiben die Forscher weiter. Die Analyse des Schädlings habe man veröffentlicht, um seine weitere Ausbreitung zu verhindern.

„Der Autor der Backdoor hat einen großen Aufwand betrieben, um nicht entdeckt zu werden und den Untersuchungen der Sicherheitscommunity zu entgehen“, heißt es auch. „Wir hoffen, dass die Veröffentlichung der Details über die Funktionsweise dieses Tools anderen helfen wird, sich gegen Angriffe mit dem Tool zu schützen.“

Zu den möglichen Hintermännern von T9000 macht Palo Alto Networks keine Angaben. Dessen 2014 entdeckter Vorgänger T5000 versprach seinen Opfern in einer E-Mail Informationen über das Verschwinden des Malaysia-Airlines-Flugs MH370. Die Analyse von T5000 förderte mögliche Verbindungen zu von der chinesischen Regierung unterstützten Hackern zutage.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago