Si eres usuario de Skype, debes tener precaución con un nuevo troyano de puerta trasera del que ha alertado recientemente losinvestigadores de seguridad de Palo Alto Networks y que es capaz de robar archivos de nuestro ordenador, grabar conversaciones que hagamos a través de Skype, realizar capturas de pantalla de determinadas aplicaciones o incluso puede causar problemas en nuestro sistema.
Se trata del malware T9000, que es en realidad una actualización del T5000 que ya conocemos por ser el que hace un par de años causo un gran terror entre los usuarios de Skype. Según los expertos en seguridad de Palo Alto, este troyano T9000 se distribuye a través del correo electrónico con un archivo adjunto del tipo rtf que al tratar de abrirlo hace que se instale el malware en el ordenador sin que nos demos cuenta.
Aunque el T9000 va más dirigido a activistas de derechos humanos, la industria del automóvil o los gobiernos de Asia y Pacífico, puesto que su principal objetivo es recoger información de inteligencia, cualquier persona que reciba este mail puede ser víctima de este malware que se aprovecha de las vulnerabilidades CVE-2012-1856 y CVE-2015-1641 para conseguir entrar en los PCs de las víctimas.
En comparación con su versión anterior, T5000, este nuevo troyano es mucho más complejo de ser detectado, puesto que cuenta con un proceso de instalación dividido en varias etapas en las que va comprobando la presencia en los equipos en los que trata de instalarse, de cualquier tipo de herramienta o programas de seguridad que intentar realizar la detección de malware.
En total, es capaz de saltarse las barreras de seguridad de un total de 24 productos comoSophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPorAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, Jiangmin, Tencent, Avira, Kaspersky, Rising y Qihoo 360.
Por lo tanto, si todo va bien y el T9000 consigue instalarse en el PC de la víctima sin que sea detectado, lo primero que hace es recopilar información sobre el sistema que ha conseguido infectar y la envía a un servidor C&C, pudiendo por lo tanto distinguir la información por cada víctima.
En función de lo recopilado por el malware y que ha sido enviado al servidor, este mismo, envía un conjunto específico de instrucciones en base a la información de cada una de las víctimas para que se ejecuten en el PC y que se distinguen en tres módulos principales.
Tyeu.dat, que es el responsable de espiar las conversaciones de Skype y que mostrará un mensaje en la parte superior de la ventana de Skype la siguiente vez que el usuario haga uso de la aplicación indicando que explorer.exe quiere usar Skype. El siguiente módulo esvnkd.dat, que se carga sólo cuando el autor del malware quiere robar archivos desde el ordenador del usuario, y el tercer módulo es qhnj.dat, el más peligroso puesto que permite que el servidor C&C pueda enviar comandos con los que el T9000 pueda crear, mover y borrar archivos y directorios, cifrar los datos o incluso capturar los datos del portapapeles del usuario.