Un nuevo troyano backdoor (puerta trasera) con capacidades de software espía está siendo usado en ataques dirigidos contra organizaciones norteamericanas. T9000 es la versión más reciente y mejorada del backdoor T5000.

Se cree que los atacantes provienen de China debido a que el T5000 ha sido ligado a Admin@388 APT, un grupo que en los últimos años ha atacado a los gobiernos de la asociación económica de Asia-Pacifico y Estados Unidos, incluso a activistas de derechos humanos.

El T9000 es entregado a través de correos de phishing que contienen un archivo RTF. Este archivo incluye un exploit para 2 vulnerabilidades (CVE-2012-1856 and CVE-2015-1641) presentes en una amplia variedad de software, como el paquete Office de Microsoft.

Después que es explotada alguna de estas vulnerabilidades, T9000 ejecutará una serie de shellcodes y cargará el módulo principal del backdoor y tres plugins cifrados.

Pero no sin antes tratar de mostrar un documento señuelo, asegurándose de que sólo una instancia del malware se esté ejecutando en un momento dado, además hace una revisión los productos de seguridad instalados.

"El malware hace todo lo posible por identificar un total de 24 potenciales productos de seguridad que podrían estar corriendo sobre el sistema y personaliza su mecanismo para evadir específicamente los que están instalados. Este usa una multietapa de proceso de instalación con controles específicos en cada punto para identificar si se está pasando por el análisis de un investigador de seguridad", descubrieron investigadores de Palo Alto Networks

El proceso de instalación es ligeramente diferente si la víctima está ejecutando Windows 2008 R2, 7, 2012 y 8, King Soft, filseclab o productos de seguridad Tencent, pero el resultado es el mismo.

Después de que el módulo principal recolecta información de los usuarios, de la máquina y la informacion del software y la envía al C&C, descarga 3 módulos (tyeu.dat, vnkd.dat y qhnj.dat) y los carga a la máquina. Cada uno de ellos tiene una función diferente. El primero es responsable de obtener información, grabación de video llamadas, llamadas de audio y mensajes de chat desde Skype y lo hace por medio del uso de la API que incorpora Skype.

"La victima debe permitir explícitamente que el malware acceda a Skype para que esta funcionalidad trabaje. Sin embargo, debido a que desde un proceso legítimo se está solicitando acceso, el usuario podría consederlo sin darse cuenta de lo que realmente estápasando", anotaron los investigadores.

El segundo plugin busca en las unidades conectadas al sistema los archivos de MS Office, la cual se prepara para la exfiltración. El tercero registra las acciones importantes realizadas por la víctima (cambios en el sistema), esto podría ser útil si los atacantes quieren tener acceso a sistemas remotos utilizados por la víctima.

Por último, el módulo principal puede enumerar unidades y directorios, ejecutar comandos, matar procesos, descargar, cargar y eliminar archivos.