Дослідники з компанії Palo Alto Networks виявили нову шкідливу програму, яку поки не розпізнають антивіруси. Вона здатна віддалено робити скриншоти екрана й перехоплювати розмови у Skype.
За словами експертів Palo Alto Networks, T9000 є нащадком троянської програми T5000, яку вперше виявили у 2013 році. Зараження шкідливим ПЗ відбувається через вкладення формату RTF в електронній пошті.
Антивірусами T9000 не виявляється за рахунок просунутої стелс-системи. Вона приховує шкідливе програмне забезпечення в момент його інсталяції в систему, а потім інші засоби підтримують приховану роботу трояну.
Експерти з безпеки стверджують, що основною метою розробників T9000 є американські компанії, проте від зараження не застрахований ніхто. Після встановлення в системі троян починає робити скриншоти і відправляти їх на віддалений сервер. Там дані аналізуються, і якщо, наприклад, ви вводите пароль, який відображається на екрані, зловмисники знатимуть його.
Якщо ж на зараженому пристрої запущений Skype, троян звертається до програми від імені explorer.exe і відправляє запит на доступ. Користувач, вважаючи, що запит надійшов від стандартного браузера, запит приймає, після чого T9000 отримує повний доступ до програми.
Аудіо- та відеозаписи розмов програма зберігає в папці % APPDATA% \ Intel \ Roaming \ Skype. Дані також передаються зловмисникам і можуть використовуватися для шантажу або отримання доступу до банківських та особистих акаунтів.
Оскільки поки антивіруси безсилі проти нового трояну, експерти рекомендують проявляти обережність при роботі з електронною поштою. Не відкривайте вкладення до листів, авторів яких ви не знаєте, особливо якщо це потенційно містять T9000 файли з розширенням .rtf.
