Trojaner T9000 zeichnet Skype-Gespräche auf

Die Malware nutzt einen mehrstufigen Installationsprozess. So versucht sie, einer Entdeckung durch Sicherheitsanwendungen zu entgehen. Bisher wurde T9000 nur für zielgerichtete Angriffe gegen Organisationen in den USA eingesetzt.

Palo Alto Networks hat einen Trojaner entdeckt, der Skype-Anrufe und auch Screenshots von Videotelefonaten aufzeichnen kann. Die T9000 genannte Malware ist zudem in der Lage, der Entdeckung durch viele gebräuchliche Sicherheitsanwendungen zu entgehen.

Malware (Bild: Shutterstock/Blue Island)T9000 beschreiben die Forscher als eine neue Variante der Schädlingsfamilie T5000. Ungewöhnlich sei, dass sie insgesamt 24 Sicherheitsprodukte erkenne, falls sie auf einem System installiert sind. Ein mehrstufiger Installationsprozess prüfe, ob im Hintergrund Sicherheitskontrollen durchgeführt werden. Die Malware sei in der Lage, sich an einzelne Sicherheitslösungen und Betriebssysteme anzupassen.

Verbreitet wird T9000 über speziell präparierte Dokumente im Rich Text Format (RTF). Sie enthalten Exploits für die bekannten Schwachstellen mit den Kennungen CVE-2012-1856 und CVE-2015-1641. Hat T9000 ein System infiziert, späht es Audio- und Videotelefonate sowie Chat-Nachrichten aus und speichert alle gesammelten Daten in einem eigenen Verzeichnis mit dem Namen „Intel“.

„Das primäre Ziel ist es, Informationen über das Opfer zu sammeln“, schreiben die Sicherheitsforscher Josh Grunzweig und Jen Miller-Osborn im Blog von Palo Alto Networks. „T9000 ist vorkonfiguriert, um automatisch Daten über das infizierte System zu sammeln und bestimmte Dateitypen, die auf Wechseldatenträgern gespeichert wurden, zu stehlen.“

Eine Infektion mit dem Trojaner können Nutzer daran erkennen, dass die „explorer.exe“ fragt, ob sie Skype benutzen darf. Dadurch wird ein Prozess gestartet, der es der Malware erlaubt, Skype-Gespräche und Nachrichten aufzuzeichnen.

ANZEIGE

Die elektronische Signatur auf dem Vormarsch – Wie Unternehmen Prozesse verschlanken und Geld sparen können

Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.

Bisher wurde T9000 nur bei zielgerichteten Angriffen gegen Organisationen in den USA eingesetzt. Die Schadsoftware sei allerdings in der Lage, Netzwerke weltweit anzugreifen, schreiben die Forscher weiter. Die Analyse des Schädlings habe man veröffentlicht, um seine weitere Ausbreitung zu verhindern.

„Der Autor der Backdoor hat einen großen Aufwand betrieben, um nicht entdeckt zu werden und den Untersuchungen der Sicherheitscommunity zu entgehen“, heißt es auch. „Wir hoffen, dass die Veröffentlichung der Details über die Funktionsweise dieses Tools anderen helfen wird, sich gegen Angriffe mit dem Tool zu schützen.“

Zu den möglichen Hintermännern von T9000 macht Palo Alto Networks keine Angaben. Dessen 2014 entdeckter Vorgänger T5000 versprach seinen Opfern in einer E-Mail Informationen über das Verschwinden des Malaysia-Airlines-Flugs MH370. Die Analyse von T5000 förderte mögliche Verbindungen zu von der chinesischen Regierung unterstützten Hackern zutage.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Malware, Security, Sicherheit, Skype

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

12 Kommentare zu Trojaner T9000 zeichnet Skype-Gespräche auf

Kommentar hinzufügen
  • Am 9. Februar 2016 um 20:59 von Dachbecker

    Warum vermögen solche Meldungen heute niemanden mehr zu bestürzen? Weil man sich schon fast damit abgefunden hat, dass man ausspioniert wird. In den allermeisten Fällen schon vom Dienst-Betreiber selbst. Wen’s stört, nutzt Threema, die anderen sagen „Ich habe nichts zu verbergen“.

    • Am 10. Februar 2016 um 0:43 von Judas Ischias

      Ich habe tatsächlich nichts zu verbergen, trotzdem möchte ich nicht unerlaubte Zugriffe auf meinem Briefkasten, weil der erheblich mehr von mir bekannt geben würde als ein paar Mails oder SMS.
      Und nein, ich habe kein Facebook, WhatsApp und was es da sonst noch gibt.
      Ich benutze tatsächlich noch ganz altmodisch SMS.;)
      Der Rest wird in einer kurzen Mail oder einem Telefonat erledigt und es wird sich persönlich getroffen, um bei einem gemütlichen Beisammensein die restlichen Dinge zu besprechen.

      • Am 10. Februar 2016 um 12:51 von H.J. Bellin

        Wer das nicht will, und wer nur totale Sicherheit will muß nicht ins Internet gehen. Viele Dinge pasieren auch auf Dummheit der Menschen

        • Am 10. Februar 2016 um 14:17 von Judas Ischias

          Richtig.
          Das Problem sitzt vor dem Gerät.

        • Am 10. Februar 2016 um 14:39 von PeerH

          Unsinn. Du gehst ja auch auf die Straße, und akzeptierst deswegen nicht, dass Dir an jeder Ecke jemand die Brieftasche klaut. Aber ok: selber schuld, Du musst ja nicht die Wohnung verlassrn? ;-)

          • Am 10. Februar 2016 um 16:19 von Veräppler

            Das ist nicht Unsinn, aber Dein Kommentar ist Unsinn.
            Wenn auf die Straße geht, passt man auf, dass z.B. die Brieftasche nicht zur Hälfte aus der Hosentasche schaut, oder in der Innentasche einer Jacke gut verstaut ist.
            Handtasche geschlossen und die Reißverschlüsse zur Körperseite tragen.
            Das bedeutet übertragen auf das Internet, z.B. die Sicherheitssoftware aktuell zu halten, nicht gedankenlos einfach jeden Link anklicken, unbekannte E-Mails zu öffnen, oder Gewinnversprechen zu glauben.
            Damit können schon viele Probleme vermieden werden.

          • Am 10. Februar 2016 um 22:27 von PeerH

            Ich beantworte Dir das einfach mal so: „Wer das nicht will, und wer nur totale Sicherheit will muß nicht in auf die Straße gehen.“

            Auch mit aufpassen bist Du auf der Straße nicht sicher. Man kann Dich ja umhauen und dann die Brieftasche klauen?

            Aber klar: Menschen, die auf der Straße ausgeraubt werden, die sind selber schuld – hätten sie mal besser aufgepasst. Wie die Leute, die sich ins Internet trauen. Selber schuld.

            Nach Deiner Logik müsste nur jeder gut aufpassen, und die Kriminalität würde gegen Null liegen. Es gibt ja keine Opfer mehr? ;-)

        • Am 10. Februar 2016 um 15:09 von DB

          Es gibt einen Unterschied zwischen totaler Sicherheit (die es, wie du richtig sagst, nicht gibt) und fährlässigem Umgang mit fragwürdigen Diensten. Weil es totale Sicherheit nicht geben kann, musst du doch nicht gleich auf hinreichend hohe Sicherheit verzichten. Deine Wohnung ist auch nicht 100% einbruchsicher, trotzdem schliesst du sie ab, oder? Genauso kannst du Threema statt WhatsApp verwenden und dich um digitale Sicherheit bemühen.

      • Am 10. Februar 2016 um 15:01 von DB

        Das sehe ich auch so, aber viele denken „Wer nichts zu verbergen hat, muss nichts befürchten“ und geben damit freiwillig ihre Privatsphäre auf.

    • Am 10. Februar 2016 um 14:47 von PeerH

      Es geht eben um Microsoft, und nicht um das große ‚A‘ – dann gäbe es hier ein Dutzend anklagender Kommentare von den bekannten Nasen.

      Um Deine Frage zu beantworten: aus Datenschutzsicht ist Win 10 an sich schon eine Katastrophe, dass da nun noch Skype angezapft wird macht den Kohl auch nicht mehr fett.

      Wer konsequent ist, macht um Win 10 und Microsoft in Zukunft möglichst einen Bogen. Oder nutzt eben Win 7 bis zum bitterrn Ende, und hofft auf Besserung.

      Scheint eh nur Windows Systeme zu betreffen, wenn es den Explorer benötigt – also Skype unter Linux, iOS oder OS X nutzen, und dieses Thema ist uninteressant.

      (Surface Pro und Book dürften ebenfalls betroffen sein und bieten keinen Schutz.)

      • Am 10. Februar 2016 um 23:55 von Veräppler

        Was bist Du @PeerH?
        Ein 15-jähriger Schüler, der sich mit einigem angelesenen Wissen auf diese Seite verirrt hat?
        Wo habe ich denn geschrieben, dass jeder gut aufpassen muss, und die Kriminalität dann gegen Null geht?
        Dann könnte man ja nach Deiner Logik jeden Link ohne Probleme anklicken, braucht sich um Sicherheitssoftware keine Gedanken mehr zu machen, öffne einfach E-Mails von unbekannten Absendern und Gewinnversprechen.
        Kann ja nichts passieren, wozu dann vorsichtig sein?
        Und die Gefahr, nur beklaut zu werden, weil z.B. die Brieftasche halb aus der Hosentasche schaut, ist viel höher, als umgehauen und dann beklaut zu werden.
        Du bist ein großer Spezialist, im ablenken und konstruieren von Dingen.
        Du solltest aber trotzdem erstmal die Schule fertig machen, dann wirst Du möglicherweise auch etwas reifer und man kann dann eventuell auch besser mit Dir diskutieren.
        Vielleicht bist Du dann auch nicht mehr so abhängig von Apple.

  • Am 20. Februar 2016 um 22:00 von Andrea

    @ all

    Um sich dagegen zu wehren, gibt es einen Weg:

    weg mit Skype und her mit Jabber-Konten! Wer bitte braucht noch Skype??
    Richtige Antwort: NIEMAND!

    So zeigt man der us-Administration, was eine Harke ist!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *