Злоумышленники распространяют TeamViewer, содержащий бэкдор

Злоумышленники распространяют TeamViewer, содержащий бэкдор

Trend Micro обнаружила вредоносную кампанию, направленную на хищение учетных данных пользователей.

Недавно стало известно о компрометации большого количества рабочих станций, использующих TeamViewer для удаленного управления доступом. Изначально предполагалось, что причиной взлома компьютеров стала утечка данных компании TeamViewer, однако в компании опровергли эти слухи. Представители разработчика обвинили пострадавших пользователей в использовании небезопасных паролей.

Исследователи антивирусной компании Trend Micro обнаружили в Сети распространение инсталлятора TeamViewer, в состав которого входит бэкдор. Злоумышленники использовали спам рассылки для установки устаревшей версии TeamViewer на компьютеры жертв в Италии. Не исключено, что именно таким образом пользовательские системы были взломаны.

В обнаруженной специалистами Trend Micro атаке использовался TeamViewer версии 6.0.17222.0, выпущенный еще в декабре 2010 года. В состав приложения входила подлинная версия инструмента для удаленного доступа совместно с одноименной системной библиотекой avicap32.dll (определяется как BKDR_TEAMBOT.DLL по классификации TrendMicro).

Приложение устанавливается в директорию %APPDATA%\Div или %APPDATA%/Addins на системе и может использоваться для получения полного контроля над компьютером жертвы. Библиотека, входящая в состав поддельного дистрибутива TeamViewer, является бэкдором с возможностями кейлогера. Учитывая особенности ОС Windows при подключении динамических библиотек, установленная таким образом библиотека активировалась при запуске устаревшей версии TeamViewer.

По информации Trend Micro, злоумышленники в течение месяца собирали логины и пароли пользователей на инфицированных системах.

 


Кибервзлом может привести к настоящей войне, ИБ-службы должны больше думать об угрозах жизням людей, не все руководители понимают опасность шпионов-инсайдеров в нашем 25 выпуске Youtube новостей.