พบโทรจัน Backdoor ใช้ TeamViewer สอดแนมผู้ใช้
นักวิจัยจาก Dr.Web บริษัทแอนตี้ไวรัสสัญชาติรัสเซีย ออกมาประกาศเตือนโทรจัน Backdoor ที่กลับมาระบาดใหม่อยูในขณะนี้ ชื่อว่า Spy-Agent หรือ BackDoor.TeamViewerENT.1 ซึ่งใช้โปรแกรม TeamViewer ในการติดตั้งมัลแวร์เพิ่มเติมเพื่อขโมยข้อมูลของผู้ใช้
 Credit: ShutterStock Spy-Agent เป็นโทรจันที่เริ่มแพร่กระจายตัวตั้งแต่ปี 2011 โดยเน้นโจมตีผู้ใช้แถบยุโรปและรัสเซีย แต่ในปัจจุบันนี้ เริ่มมีการแพร่กระจายตัวไปยังสหรัฐฯ ด้วยเช่นกัน โทรจันดังกล่าวเมื่อติดตั้งลงบนเครื่องของเหยื่อแล้ว จะทำการดาวน์โหลดมัลแวร์อื่นๆ เช่น Keylogger และ From Grapper มาติดตั้งเพิ่มเพื่อขโมยข้อมูลจากผู้ใช้
จุดเด่นของโทรจันนี้คือ ใช้ Component ของ TeamViewer ในการสอดแนมเครื่องของเหยื่อ กล่าวคือ Payload ของโทรจันดังกล่าวจะถูกแปะไว้ในไลบรารี่ avicap32.dll ซึ่งเป็นส่วนประกอบสำคัญของโปรแกรม TeamViewer ส่งผลให้ Windows โหลดไลบรารี่ดังกล่าวที่มีมัลแวร์แฝงตัวอยู่เข้าสู่ Memory แทนไลบรารี่ที่ใช้งานตามปกติ
อีกประการหนึ่งคือ โทรจันสามารถหลบซ่อนตัวเองจากผู้ใช้ได้โดยการ Terminate โปรเซสของ TeamViewer ทิ้ง เมื่อมันตรวจจับได้ว่าผู้ใช้เปิด Task Manager หรือ Process Explorer ที่สำคัญคือ นอกจาก Spy-Agent จะดาวน์โหลดมัลแวร์อื่นมาติดตั้งเพื่อขโมยข้อมูลผู้ใช้แล้ว มันยังใช้ TeamViewer ในการสอดแนมผู้ใช้ผ่านทางไมโครโฟนและกล้องของคอมพิวเตอร์อีกด้วย
นอกจากนี้ ถ้า Component ของ TeamViewer ถูกลบทิ้ง (ไม่ว่าจะด้วยความตั้งใจหรือไม่ก็ตาม) โทรจันดังกล่าวสามารถรับรู้ถึงความผิดปกติและดาวน์โหลดชิ้นส่วนที่ขาดหายไป จาก C&C Server กลับคืนมาใหม่ได้
อ่านรายละเอียดเชิงเทคนิคเพิ่มเติมได้ที่ http://vms.drweb.com/virus/?i=8415393&lng=en
ที่มา: https://www.helpnetsecurity.com/2016/08/23/backdoor-uses-teamviewer/ |
