Breaking News
AMR | Citrix Webinar: The Next New Normal

พบโทรจัน Backdoor ใช้ TeamViewer สอดแนมผู้ใช้

พร้อมโหลด Keylogger และ Form Grabber เพื่อขโมยข้อมูล รวมถึงสอดแนมผู้ใช้ผ่านกล้องและไมโครโฟน

นักวิจัยจาก Dr.Web บริษัทแอนตี้ไวรัสสัญชาติรัสเซีย ออกมาประกาศเตือนโทรจัน Backdoor ที่กลับมาระบาดใหม่อยูในขณะนี้ ชื่อว่า Spy-Agent หรือ BackDoor.TeamViewerENT.1 ซึ่งใช้โปรแกรม TeamViewer ในการติดตั้งมัลแวร์เพิ่มเติมเพื่อขโมยข้อมูลของผู้ใช้

Credit: ShutterStock
Credit: ShutterStock

Spy-Agent เป็นโทรจันที่เริ่มแพร่กระจายตัวตั้งแต่ปี 2011 โดยเน้นโจมตีผู้ใช้แถบยุโรปและรัสเซีย แต่ในปัจจุบันนี้ เริ่มมีการแพร่กระจายตัวไปยังสหรัฐฯ ด้วยเช่นกัน โทรจันดังกล่าวเมื่อติดตั้งลงบนเครื่องของเหยื่อแล้ว จะทำการดาวน์โหลดมัลแวร์อื่นๆ เช่น Keylogger และ From Grapper มาติดตั้งเพิ่มเพื่อขโมยข้อมูลจากผู้ใช้

จุดเด่นของโทรจันนี้คือ ใช้ Component ของ TeamViewer ในการสอดแนมเครื่องของเหยื่อ กล่าวคือ Payload ของโทรจันดังกล่าวจะถูกแปะไว้ในไลบรารี่ avicap32.dll ซึ่งเป็นส่วนประกอบสำคัญของโปรแกรม TeamViewer ส่งผลให้ Windows โหลดไลบรารี่ดังกล่าวที่มีมัลแวร์แฝงตัวอยู่เข้าสู่ Memory แทนไลบรารี่ที่ใช้งานตามปกติ

อีกประการหนึ่งคือ โทรจันสามารถหลบซ่อนตัวเองจากผู้ใช้ได้โดยการ Terminate โปรเซสของ TeamViewer ทิ้ง เมื่อมันตรวจจับได้ว่าผู้ใช้เปิด Task Manager หรือ Process Explorer ที่สำคัญคือ นอกจาก Spy-Agent จะดาวน์โหลดมัลแวร์อื่นมาติดตั้งเพื่อขโมยข้อมูลผู้ใช้แล้ว มันยังใช้ TeamViewer ในการสอดแนมผู้ใช้ผ่านทางไมโครโฟนและกล้องของคอมพิวเตอร์อีกด้วย

นอกจากนี้ ถ้า Component ของ TeamViewer ถูกลบทิ้ง (ไม่ว่าจะด้วยความตั้งใจหรือไม่ก็ตาม) โทรจันดังกล่าวสามารถรับรู้ถึงความผิดปกติและดาวน์โหลดชิ้นส่วนที่ขาดหายไปจาก C&C Server กลับคืนมาใหม่ได้

อ่านรายละเอียดเชิงเทคนิคเพิ่มเติมได้ที่ http://vms.drweb.com/virus/?i=8415393&lng=en

ที่มา: https://www.helpnetsecurity.com/2016/08/23/backdoor-uses-teamviewer/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Protection Everywhere – Protect Users On/Off-network with One Unified by McAfee Web Security Gateway

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย McAfee Webinar เรื่อง “Protection Everywhere – Protect Users On/Off-network with One Unified by McAfee …

สิงคโปร์เตรียมยกระดับการเข้ารหัสข้อมูลด้วย Quantum Cryptography

ST Engineering และ National University of Singapore (NUS) เตรียมนำ Measurement-Device-Independent Quantum Key Distribution (MDI QKD) …