พบโทรจัน Backdoor ใช้ TeamViewer สอดแนมผู้ใช้

พร้อมโหลด Keylogger และ Form Grabber เพื่อขโมยข้อมูล รวมถึงสอดแนมผู้ใช้ผ่านกล้องและไมโครโฟน

นักวิจัยจาก Dr.Web บริษัทแอนตี้ไวรัสสัญชาติรัสเซีย ออกมาประกาศเตือนโทรจัน Backdoor ที่กลับมาระบาดใหม่อยูในขณะนี้ ชื่อว่า Spy-Agent หรือ BackDoor.TeamViewerENT.1 ซึ่งใช้โปรแกรม TeamViewer ในการติดตั้งมัลแวร์เพิ่มเติมเพื่อขโมยข้อมูลของผู้ใช้

Credit: ShutterStock
Credit: ShutterStock

Spy-Agent เป็นโทรจันที่เริ่มแพร่กระจายตัวตั้งแต่ปี 2011 โดยเน้นโจมตีผู้ใช้แถบยุโรปและรัสเซีย แต่ในปัจจุบันนี้ เริ่มมีการแพร่กระจายตัวไปยังสหรัฐฯ ด้วยเช่นกัน โทรจันดังกล่าวเมื่อติดตั้งลงบนเครื่องของเหยื่อแล้ว จะทำการดาวน์โหลดมัลแวร์อื่นๆ เช่น Keylogger และ From Grapper มาติดตั้งเพิ่มเพื่อขโมยข้อมูลจากผู้ใช้

จุดเด่นของโทรจันนี้คือ ใช้ Component ของ TeamViewer ในการสอดแนมเครื่องของเหยื่อ กล่าวคือ Payload ของโทรจันดังกล่าวจะถูกแปะไว้ในไลบรารี่ avicap32.dll ซึ่งเป็นส่วนประกอบสำคัญของโปรแกรม TeamViewer ส่งผลให้ Windows โหลดไลบรารี่ดังกล่าวที่มีมัลแวร์แฝงตัวอยู่เข้าสู่ Memory แทนไลบรารี่ที่ใช้งานตามปกติ

อีกประการหนึ่งคือ โทรจันสามารถหลบซ่อนตัวเองจากผู้ใช้ได้โดยการ Terminate โปรเซสของ TeamViewer ทิ้ง เมื่อมันตรวจจับได้ว่าผู้ใช้เปิด Task Manager หรือ Process Explorer ที่สำคัญคือ นอกจาก Spy-Agent จะดาวน์โหลดมัลแวร์อื่นมาติดตั้งเพื่อขโมยข้อมูลผู้ใช้แล้ว มันยังใช้ TeamViewer ในการสอดแนมผู้ใช้ผ่านทางไมโครโฟนและกล้องของคอมพิวเตอร์อีกด้วย

นอกจากนี้ ถ้า Component ของ TeamViewer ถูกลบทิ้ง (ไม่ว่าจะด้วยความตั้งใจหรือไม่ก็ตาม) โทรจันดังกล่าวสามารถรับรู้ถึงความผิดปกติและดาวน์โหลดชิ้นส่วนที่ขาดหายไปจาก C&C Server กลับคืนมาใหม่ได้

อ่านรายละเอียดเชิงเทคนิคเพิ่มเติมได้ที่ http://vms.drweb.com/virus/?i=8415393&lng=en

ที่มา: https://www.helpnetsecurity.com/2016/08/23/backdoor-uses-teamviewer/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ