T9000: Spionage-Trojaner belauscht Skype und klaut Dateien
Nutzer von Microsofts Kommunikations-Tool Skype werden durch einen neu aufgetauchten Trojaner ausspioniert. Dieser wird relativ gezielt auf die Rechner von Anwendern gebracht und ist darauf ausgelegt, Dateien zu entwenden, Screenshots anzufertigen und VoIP-Telefonate abzuhören. Entdeckt wurde die neue Malware vom Security-Unternehmen Palo Alto Networks, das den Schädling unter der Bezeichnung "T9000" in die einschlägigen Datenbanken eintrug. Der Name macht deutlich, dass es sich um eine Weiterentwicklung einer Spionage-Malware handelt, die bereits früher aktiv war und ähnlichen Zwecken diente. Die vorhergehenden Fassungen wurden bereits eingesetzt, um gezielt Menschenrechts-Aktivisten, Firmen aus der Automobilbranche und Behörden asiatischer Länder auszuspionieren.
Die aktuelle Malware-Kampagne richtet sich hingegen offenbar vor allem gegen Organisationen und Unternehmen aus den USA. Der Schädling selbst ist dabei in einem manipulierten RTF-Dokument verborgen, das recht gezielt an E-Mail-Adressen verschickt wird, deren Nutzer zu den Zieleinrichtungen gehören. Nach Angaben der Sicherheitsforscher wurden in der neuesten Version vor allem die Tarn-Mechanismen des Trojaners deutlich weiterentwickelt, so dass dieser wesentlich schwerer zu entdecken ist.
Schon bei der Installation geht die Malware recht vorsichtig zur Sache. Über mehrere Stufen hinweg werden hier Module in das angegriffene System geschrieben und stets nachgeschaut. Dabei prüft die Software auf das Vorhandensein verschiedener Sicherheits-Anwendungen und richtet ihr Vorgehen nach dem entdeckten Produkt aus. Ist der Rechner infiziert, werden in einem ersten Schritt Daten über das System an die Kommando-Infrastruktur geschickt, um das Opfer identifizierbar zu machen und das weitere Vorgehen planen zu können.
Erst wenn dies geschehen ist, erhält die Malware weitere Module. Diese richten sich in ihrer Funktionalität danach, was beim jeweiligen Anwender zu holen ist. Jetzt kommt der Punkt, an dem der Anwender trotz aller Tarnung auf die Aktivität des Trojaners aufmerksam werden kann. Denn um Skype abzuhören, klinkt sich die Malware in das API der Software ein. Der Client fragt im Zuge dessen danach, ob Explorer.exe der Zugriff gewährt werden soll.
Insofern ist es schon fast gut, wenn der Anwender die Kommunikations-Software verwendet. Denn andere Funktionen der Malware lassen sich nicht so leicht entdecken. So kann der Schädling auch Dateien auf dem Rechner ausspionieren und nach außen schicken, ohne dass Skype aktiv wäre.
Quelle