Державний університет інформаційно-комунікаційних технологій
XS
SM
MD
LG
XL
XXL
Державний університет інформаційно-комунікаційних технологій
Державний університет інформаційно-комунікаційних технологій

Адреса:
03110, Україна
м. Київ, вул. Солом'янська, 7
Контактна інформація:
Приймальна комісія:
Телефон: (044) 249-25-91,
Телефон: (066) 227-46-60
Відділ документаційно-інформаційного забезпечення та контролю
Телефон / факс: (044) 249-25-12
Відділ медіакомунікацій
Телефон: (099) 109-41-23
Державний університет інформаційно-комунікаційних технологій
  
Укр.
 
      
           Пошук    
  
Укр.
 

Бекдор для Skype викрадає дані

14:19, 18-02-2016

Дослідники Palo Alto Networks виявили бекдор, здатний викрадати з Skype відео, аудіо, повідомлення та скріншоти.

За даними експертів, зловредів T9000, докладає великих зусиль, щоб залишатися непоміченим. Він відноситься до сімейства Plat1 і застосовується в фішингових атаках проти ряду американських організацій.

Для запуску процедури установки T9000 користувачеві потрібно відкрити шкідливий файл .rtf, отриманий в фішинговому повідомленні. Багатоступінчастий процес інсталяції дозволяє зловреду уникнути детектування.

Спочатку T9000 ретельно виявляє, чи встановлена ​​в системі одна з 24 програм забезпечення безпеки (Sophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising і 360), і вже після адаптує процес завантаження таким чином, щоб обійти захист.

На другій стадії завантажується шкідлива DLL-бібліотека, при цьому бекдор знову перевіряє, який з антивірусів може представляти для нього загрозу. Залежно від результатів перевірки зловред застосовує один з трьох можливих сценаріїв для початку третьої фази. Сам шкідливий компонент завантажується не раніше четвертої фази, але навіть тоді T9000 здатний непомітно зникнути, не залишаючи слідів, якщо виявить у системі запущені процеси антивірусних програм. Якщо ж установка увінчалася успіхом, ім'я користувача і версія ОС відправляються на віддалений сервер, з якого, в свою чергу, завантажуються модулі, що дозволяють зловмисникам викрадати дані.

Перший з них робить скріншоти екрану кожні 20 секунд і збирає інформацію з Skype. Якщо Skype запущений, зловмисник обманом змушує жертву надати дозвіл на доступ до Skype виконуваного файлу explorer.exe, інакше атака не спрацює. У разі успіху атакуючий отримує можливість записати відео і відеодзвінків і збору текстових повідомлень.

Але цим T9000 не обмежується: він краде документи формату .doc, .ppt, .xls, .docx, .pptx, .xlsx, в тому числі зі знімних дисків. За це відповідає інший плагін - FlaskDiskThief.

Третій плагін потрібен для ведення журналу змін файлів: шкідливий компонент відстежує, коли файл був створений, копіювати, переміщено або видалено.

На думку дослідників, атакуючим потрібні ці дані, щоб вивчити поведінку жертви, що в кінцевому підсумку може дати їм корисні відомості для «поглиблення» атаки. В Palo Alto вже опублікували список індикаторів атаки і сподіваються, що найближчим часом з'явиться спосіб протистояти зловреду, а поки радять користувачам бути особливо уважними, оскільки ключовим елементом атаки є згода користувача дати відповідні дозволи шкідливому додатком.

© При повному чи частковому використанні матеріалів сайту ДУІКТ гіперпосилання на сайт https://duikt.edu.ua/ обов'язкове!
Читайте також
Бажаєте дізнаватись про особливості вступу у 2025 році?
Підписуйтесь на спільноти спеціальності "125 Кібербезпека та захист інформації" кафедри Систем та технологій кібербезпеки та першим отримуйте новини, сповіщення про важливі події, підготовчі курси, дні відкритих дверей та багато цікавого.

Про кафедру

Кафедра Систем та технологій кібербезпеки

Абітурієнту

Освітня програма Інформаційна та кібернетична безпека кафедри систем та технологій кібербезпеки

Освітня програма інформаційна та кібернетична безпека кафедри систем та технологій кібербезпеки базується на розробці і впровадженні технологій із застосуванням передусім програмних та апаратно-програмних засобів.

Фахівці з ІКБ - це еліта інформаційної та кібернетичної безпеки, які отримують теоретичні знання та практичні навички з програмування, розробки та управління базами даних, формування моделей захисту інформації та політик безпеки, технічного і криптографічного захисту інформації, побудови захищених цифрових TCP/IP мереж та обслуговування сертифікатів відкритих ключів, тестування систем захисту на проникнення, адміністрування захищених інформаційних та комунікаційних систем, проведення їх моніторингу та аудиту тощо.

Освітня програма Інформаційна та кібернетична безпека кафедри систем та технологій кібербезпеки

Освітня програма інформаційна та кібернетична безпека кафедри систем та технологій кібербезпеки базується на розробці і впровадженні технологій із застосуванням передусім програмних та апаратно-програмних засобів.

Фахівці з ІКБ - це еліта інформаційної та кібернетичної безпеки, які отримують теоретичні знання та практичні навички з програмування, розробки та управління базами даних, формування моделей захисту інформації та політик безпеки, технічного і криптографічного захисту інформації, побудови захищених цифрових TCP/IP мереж та обслуговування сертифікатів відкритих ключів, тестування систем захисту на проникнення, адміністрування захищених інформаційних та комунікаційних систем, проведення їх моніторингу та аудиту тощо.

Переглядів: 5 480