พบโทรจัน Backdoor ใช้ TeamViewer สอดแนมผู้ใช้

พร้อมโหลด Keylogger และ Form Grabber เพื่อขโมยข้อมูล รวมถึงสอดแนมผู้ใช้ผ่านกล้องและไมโครโฟน

นักวิจัยจาก Dr.Web บริษัทแอนตี้ไวรัสสัญชาติรัสเซีย ออกมาประกาศเตือนโทรจัน Backdoor ที่กลับมาระบาดใหม่อยูในขณะนี้ ชื่อว่า Spy-Agent หรือ BackDoor.TeamViewerENT.1 ซึ่งใช้โปรแกรม TeamViewer ในการติดตั้งมัลแวร์เพิ่มเติมเพื่อขโมยข้อมูลของผู้ใช้

Credit: ShutterStock
Credit: ShutterStock

Spy-Agent เป็นโทรจันที่เริ่มแพร่กระจายตัวตั้งแต่ปี 2011 โดยเน้นโจมตีผู้ใช้แถบยุโรปและรัสเซีย แต่ในปัจจุบันนี้ เริ่มมีการแพร่กระจายตัวไปยังสหรัฐฯ ด้วยเช่นกัน โทรจันดังกล่าวเมื่อติดตั้งลงบนเครื่องของเหยื่อแล้ว จะทำการดาวน์โหลดมัลแวร์อื่นๆ เช่น Keylogger และ From Grapper มาติดตั้งเพิ่มเพื่อขโมยข้อมูลจากผู้ใช้

จุดเด่นของโทรจันนี้คือ ใช้ Component ของ TeamViewer ในการสอดแนมเครื่องของเหยื่อ กล่าวคือ Payload ของโทรจันดังกล่าวจะถูกแปะไว้ในไลบรารี่ avicap32.dll ซึ่งเป็นส่วนประกอบสำคัญของโปรแกรม TeamViewer ส่งผลให้ Windows โหลดไลบรารี่ดังกล่าวที่มีมัลแวร์แฝงตัวอยู่เข้าสู่ Memory แทนไลบรารี่ที่ใช้งานตามปกติ

อีกประการหนึ่งคือ โทรจันสามารถหลบซ่อนตัวเองจากผู้ใช้ได้โดยการ Terminate โปรเซสของ TeamViewer ทิ้ง เมื่อมันตรวจจับได้ว่าผู้ใช้เปิด Task Manager หรือ Process Explorer ที่สำคัญคือ นอกจาก Spy-Agent จะดาวน์โหลดมัลแวร์อื่นมาติดตั้งเพื่อขโมยข้อมูลผู้ใช้แล้ว มันยังใช้ TeamViewer ในการสอดแนมผู้ใช้ผ่านทางไมโครโฟนและกล้องของคอมพิวเตอร์อีกด้วย

นอกจากนี้ ถ้า Component ของ TeamViewer ถูกลบทิ้ง (ไม่ว่าจะด้วยความตั้งใจหรือไม่ก็ตาม) โทรจันดังกล่าวสามารถรับรู้ถึงความผิดปกติและดาวน์โหลดชิ้นส่วนที่ขาดหายไปจาก C&C Server กลับคืนมาใหม่ได้

อ่านรายละเอียดเชิงเทคนิคเพิ่มเติมได้ที่ http://vms.drweb.com/virus/?i=8415393&lng=en

ที่มา: https://www.helpnetsecurity.com/2016/08/23/backdoor-uses-teamviewer/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สตาร์ทอัพด้านความมั่นคงปลอดภัยไซเบอร์ Tenex เปิดตัวพร้อมบริการ MDR พลัง AI บนคลาวด์

สตาร์ทอัพด้านความมั่นคงปลอดภัยไซเบอร์ Tenex.AI เปิดตัวพร้อมบริการตรวจจับและตอบโต้ (Managed Detection and Response – MDR) ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ (AI) และพร้อมใช้งานแล้ว ทั้งนี้ บริษัทได้รับเงินทุนไม่เปิดเผยจำนวนจาก Andreessen …

Microsoft ประกาศยุติการสนับสนุน Exchange Server 2016 และ 2019 ในเดือนตุลาคมนี้

Microsoft เตือนผู้ดูแลระบบเตรียมอัปเกรดหรือย้ายไปใช้ Exchange Online ก่อนการยุติการสนับสนุน Exchange Server 2016 และ 2019 ในวันที่ 14 ตุลาคม 2025