พบโทรจัน Backdoor ใช้ TeamViewer สอดแนมผู้ใช้

พร้อมโหลด Keylogger และ Form Grabber เพื่อขโมยข้อมูล รวมถึงสอดแนมผู้ใช้ผ่านกล้องและไมโครโฟน

นักวิจัยจาก Dr.Web บริษัทแอนตี้ไวรัสสัญชาติรัสเซีย ออกมาประกาศเตือนโทรจัน Backdoor ที่กลับมาระบาดใหม่อยูในขณะนี้ ชื่อว่า Spy-Agent หรือ BackDoor.TeamViewerENT.1 ซึ่งใช้โปรแกรม TeamViewer ในการติดตั้งมัลแวร์เพิ่มเติมเพื่อขโมยข้อมูลของผู้ใช้

Spy-Agent เป็นโทรจันที่เริ่มแพร่กระจายตัวตั้งแต่ปี 2011 โดยเน้นโจมตีผู้ใช้แถบยุโรปและรัสเซีย แต่ในปัจจุบันนี้ เริ่มมีการแพร่กระจายตัวไปยังสหรัฐฯ ด้วยเช่นกัน โทรจันดังกล่าวเมื่อติดตั้งลงบนเครื่องของเหยื่อแล้ว จะทำการดาวน์โหลดมัลแวร์อื่นๆ เช่น Keylogger และ From Grapper มาติดตั้งเพิ่มเพื่อขโมยข้อมูลจากผู้ใช้

จุดเด่นของโทรจันนี้คือ ใช้ Component ของ TeamViewer ในการสอดแนมเครื่องของเหยื่อ กล่าวคือ Payload ของโทรจันดังกล่าวจะถูกแปะไว้ในไลบรารี่ avicap32.dll ซึ่งเป็นส่วนประกอบสำคัญของโปรแกรม TeamViewer ส่งผลให้ Windows โหลดไลบรารี่ดังกล่าวที่มีมัลแวร์แฝงตัวอยู่เข้าสู่ Memory แทนไลบรารี่ที่ใช้งานตามปกติ

อีกประการหนึ่งคือ โทรจันสามารถหลบซ่อนตัวเองจากผู้ใช้ได้โดยการ Terminate โปรเซสของ TeamViewer ทิ้ง เมื่อมันตรวจจับได้ว่าผู้ใช้เปิด Task Manager หรือ Process Explorer ที่สำคัญคือ นอกจาก Spy-Agent จะดาวน์โหลดมัลแวร์อื่นมาติดตั้งเพื่อขโมยข้อมูลผู้ใช้แล้ว มันยังใช้ TeamViewer ในการสอดแนมผู้ใช้ผ่านทางไมโครโฟนและกล้องของคอมพิวเตอร์อีกด้วย

นอกจากนี้ ถ้า Component ของ TeamViewer ถูกลบทิ้ง (ไม่ว่าจะด้วยความตั้งใจหรือไม่ก็ตาม) โทรจันดังกล่าวสามารถรับรู้ถึงความผิดปกติและดาวน์โหลดชิ้นส่วนที่ขาดหายไปจาก C&C Server กลับคืนมาใหม่ได้

อ่านรายละเอียดเชิงเทคนิคเพิ่มเติมได้ที่ http://vms.drweb.com/virus/?i=8415393&lng=en

ที่มา: https://www.helpnetsecurity.com/2016/08/23/backdoor-uses-teamviewer/