T9000, una puerta trasera que afecta a los usuarios de Skype

Share this…

No es muy habitual hablar de Skype y que los usuarios sean víctimas de una amenaza malware. Teniendo en cuenta de que su cuota de mercado ha descendido y mucho y cada vez son menos los usuarios que hacen uso de este, no es para nada descabellado que nos encontremos en esta situación. Sin embargo, los ciberdelincuentes han comenzado a distribuir una puerta trasera conocida con el nombre de T9000.

Aunque es probable que muchos no os acordéis, hace un par de años ciberdleincuentes distribuyeron a través del servicio una puerta trasera bautizada con el nombre de T5000, quedando claro que la que se está distribuyendo en la actualidad se trata nada más y nada menos que una actualización. Se distribuye haciendo uso de ficheros RTF y hace uso de las vulnerabilidades CVE-2012-1856 y CVE-2015-1641 para instalarse en el sistema de forma correcta y también ser persistente. Conviene aclarar que se trata de una amenaza que solo afectaría a los usuarios que harían uso del servicio de mensajería en equipos Windows.

Expertos en seguridad que han analizado la amenaza han puntualizado que los propietarios han puesto mucho esfuerzo en que la amenaza no sea detectada por las principales herramientas de seguridad. La instalación de la puerta trasera comprende varias etapas, siendo la primera la comprobación de la existencia de herramientas de seguridad en el sistema. En el caso de ser así, la instalación se aborta, aunque si el resultado es negativo el proceso continúa con la instalación del la amenaza. Cuando este ha finalizado se realiza la recolección de datos del sistema y se envían a un servidor de control remoto.

T9000 execution flow

T9000 permite el robo de datos y la toma de capturas de pantalla

Hay que puntualizar que la puerta trasera no se distribuye utilizando el servicio de mensajería, sino que afecta a los usuarios que los utilizan. Se distribuye haciendo uso de mensajes de correo electrónico spam y una vez que ha enviado la información recopilado, el servidor de control envía módulos adicionales que permitirán recopilar la información de una forma mucho más sencilla. Los usuarios que estén infectado verán como se solicita el acceso de explorer.exe a la API de Skype. El motivo es muy sencillo: la posibilidad de grabar las conversaciones y recopilar otros datos. Además de las conversaciones, la puerta trasera también puede proceder a grabar el audio y el vídeo.

doc, ppt, xls, docx, pptx o xlsx son un ejemplo de otros archivos que se pueden ver afectados por la presencia de la puerta trasera.

Fuente:https://www.redeszone.net/