Вредоносное программное обеспечение, предназначением которого является хищение пользовательских данных, было обнаружено исследователями Palo Alto Networks. В блоге компании указывается, что сейчас хакеры используют вредоносную программу T9000 для проведения кибератак против организаций в США.
T9000 является обновленным вариантом вредоносного программного обеспечения T5000, применявшегося в 2014 году для проведения кибернападений на американские организации. Распространение T5000 и T9000 осуществляется с помощью зараженных RTF-файлов.
Процесс установки вредоносной программы не фиксируется большинством продуктов для защиты от вирусов. Сначала T9000 проводит мониторинг системы на предмет наличия установленных антивирусов и во избежание обнаружения вносит изменения в собственный механизм установки. В коде вредоносной программы были найдены сценарии проверки на наличие множества антивирусных решений, включая AVG, Avira, Comodo, Kaspersky, McAfee, Norton, Panda, Trend Micro и «Доктор Веб».
После T9000 производит загрузку вредоносной библиотеки и вновь осуществляет проверку на наличие антивирусных продуктов. По результатам проверки вредоносная программа задействует один из трех специальных механизмов для запуска следующего этапа установки.
Далее Т9000 отправляет на C&C-сервер сведения об имени пользователя и версии операционной системы, а также производит загрузку вредоносных модулей для кражи данных.
Один из модулей регулярно создает скриншоты и похищает информацию. В случае, если пользователь работает с Skype, вредоносная программа присылает запрос на доступ к приложению от имени explorer.exe. Так как отправка запроса производится от имени легитимного системного процесса, ничего не подозревающий пользователь принимает запрос и предоставляет T9000 доступ к сервису. Вредоносная программа осуществляет запись всей полученной и переданной корреспонденции и пересылает ее на C&C-сервер.
Благодаря модулю FlashDiskThief T9000 может похищать файлы, которые передаются через флеш-накопители. Интерес для операторов вредоносной программы представляют документы с расширением .doc, .docx, .ppt, .pptx, .xls и .xlsx.
Третий модуль ведет запись всех изменений в файловой системе. Исследователи считают, что таким образом злоумышленники могут подробно изучать активность пользователя.