Un nuevo malware roba las conversaciones de audio y vídeo de Skype

Investigadores de Palo Alto Networks aseguran que el T9000, una actualización del T5000 que ya causó terror hace un par de años en Skype, estaría volviendo a hacer de las suyas en la plataforma, concretamente robando las conversaciones de audio y vídeo. El T9000 se distribuye por correo electrónico, primero como archivo adjunto del tipo RTF para, una vez abierto, instalarse en el ordenador de la víctima.

Si bien es cierto que estos emails están dirigidos a organizaciones gubernamentales de Asia y el Pacífico, a activistas de derechos humanos y a participantes de la industria del automóvil, es también válido para cualquier víctima que acabe recibiendo dicho email. El malware se ampara en las vulnerabilidades CVE-2012-1856 y CVE-2015-1641 para solicitar acceso remoto a la API de Skype para comenzar sus ataques. El T9000 es un malware muy cuidadoso, ya que primero comprueba si existe algún antivirus que pueda localizarlo. Si considera que puede saltarse las barreras de seguridad de los antivirus del sistema, se acaba instalando. A partir de ahí, el T9000 basa sus ataques en tres módulos de actuación.

El primer módulo es el tyeu.dat, que espía conversaciones de Skype. Cuando se ejecuta lanza un pequeño aviso con el mensaje «explorer.exe solicita acceso para Skype». De darle a aceptar el malware podrá grabar audio, vídeo, conversaciones de texto y hasta realizar capturas de la pantalla. El segundo módulo de actuación es el vnkd.dat, que se ejecuta cuando el atacante desea robar archivos del disco duro con las extensiones doc, ppt y xls, de la suite de Microsoft. Por último, el tercer módulo qhnj.dat es el más peligroso, dado que recibe órdenes para crear, modificar y borrar carpetas y archivos de sistema pudiendo, literalmente, destruir todo el ordenador a su antojo.