Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Trojan Windows lợi dụng TeamViewer biến thiết bị nạn nhân thành web proxy
BackDoor.TeamViewer.49 là tên gọi của trojan vừa được các chuyên gia Dr.Web (Nga) phát hiện. Theo Dr.Web, trojan sẽ cài đặt ứng dụng TeamViewer trên thiết bị lây nhiễm để từ đó “chuyển” lưu lượng web từ tin tặc đến các máy chủ khác trên Internet, sử dụng host như một máy chủ proxy.
Trojan được các chuyên gia phát hiện lần đầu tiên vào đầu tháng 5, phát tán qua một cơ chế đa tầng phức tạp.
Lây nhiễm thông qua gói cập nhật Adobe Flash
Người dùng không bị lây nhiễm BackDoor.TeamViewer một cách trực tiếp mà thông qua mã độc trung gian có tên gọi Trojan.MulDrop6.39120. Các chuyên gia cho biết mã độc này được phát tán trên mạng cùng với gói cập nhật Adobe Flash Player.
Khi người dùng cài đặt bản cập nhật Flash Player, họ sẽ nhận được một phiên bản Flash có kèm theo trojan Trojan.MulDrop6. Trojan này sẽ bí mật cài đặt TeamViewer trên máy tính nạn nhân.
Việc cài TeamViewer trên các thiết bị lây nhiễm không mới, tuy nhiên tin tặc không sử dụng ứng dụng này để đăng nhập vào thiết bị của nạn nhân và chiếm quyền kiểm soát thiết bị. Theo các chuyên gia, TeamViewer được sử dụng cho mục đích khác.
Tin tặc không lấy cắp thông tin từ thiết bị lây nhiễm
Tin tặc thay thế tập tin avicap32.dll của TeamViewer bằng một phiên bản độc hại chứa trojan BackDoor.TeamViewer. Bởi TeamViewer tự động chạy avicap32.dll trên bộ nhớ hệ điều hành, tin tặc chỉ cần thêm các tính năng auto-run vào TeamViewer và đảm bảo rằng các icon của ứng dụng được ẩn khỏi “vùng” thông báo của Windows.
Sau khi tin tặc thực hiện toàn bộ các điều chỉnh cần thiết và TeamViewer được khởi chạy, BackDoor.TeamViewer sẽ kết nối qua một kênh mã hóa tới máy chủ C&C của tin tặc. Tại đây, mã độc đợi chỉ dẫn tiếp theo.
Dr.Web cho biết trong các phiên bản mã độc mà hãng phân tích, tính năng chính của trojan là vận hành như một web proxy, chiếm lưu lượng nhận được từ máy chủ C&C, và chuyển tới Internet, che giấu địa chỉ IP thật sự của tin tặc.
Đại diện TeamViewer cho biết: “Trong khi chúng tôi tìm hiểu kỹ hơn thì vấn đề ở chỗ người dùng cài đặt chương trình độc hại. Khi một hệ thống bị lây nhiễm, tin tặc có thể thực hiện bất kỳ việc gì với hệ thống đó – tùy vào độ phức tạp của mã độc, như chiếm hoàn toàn hệ thống, thao túng thông tin… Do đó, người dùng cần bảo vệ hệ thống của mình bằng việc cài đặt phần mềm diệt virus”.
Nguồn: Softpedia
Trojan được các chuyên gia phát hiện lần đầu tiên vào đầu tháng 5, phát tán qua một cơ chế đa tầng phức tạp.
Lây nhiễm thông qua gói cập nhật Adobe Flash
Người dùng không bị lây nhiễm BackDoor.TeamViewer một cách trực tiếp mà thông qua mã độc trung gian có tên gọi Trojan.MulDrop6.39120. Các chuyên gia cho biết mã độc này được phát tán trên mạng cùng với gói cập nhật Adobe Flash Player.
Khi người dùng cài đặt bản cập nhật Flash Player, họ sẽ nhận được một phiên bản Flash có kèm theo trojan Trojan.MulDrop6. Trojan này sẽ bí mật cài đặt TeamViewer trên máy tính nạn nhân.
Việc cài TeamViewer trên các thiết bị lây nhiễm không mới, tuy nhiên tin tặc không sử dụng ứng dụng này để đăng nhập vào thiết bị của nạn nhân và chiếm quyền kiểm soát thiết bị. Theo các chuyên gia, TeamViewer được sử dụng cho mục đích khác.
Tin tặc không lấy cắp thông tin từ thiết bị lây nhiễm
Tin tặc thay thế tập tin avicap32.dll của TeamViewer bằng một phiên bản độc hại chứa trojan BackDoor.TeamViewer. Bởi TeamViewer tự động chạy avicap32.dll trên bộ nhớ hệ điều hành, tin tặc chỉ cần thêm các tính năng auto-run vào TeamViewer và đảm bảo rằng các icon của ứng dụng được ẩn khỏi “vùng” thông báo của Windows.
Sau khi tin tặc thực hiện toàn bộ các điều chỉnh cần thiết và TeamViewer được khởi chạy, BackDoor.TeamViewer sẽ kết nối qua một kênh mã hóa tới máy chủ C&C của tin tặc. Tại đây, mã độc đợi chỉ dẫn tiếp theo.
Dr.Web cho biết trong các phiên bản mã độc mà hãng phân tích, tính năng chính của trojan là vận hành như một web proxy, chiếm lưu lượng nhận được từ máy chủ C&C, và chuyển tới Internet, che giấu địa chỉ IP thật sự của tin tặc.
Đại diện TeamViewer cho biết: “Trong khi chúng tôi tìm hiểu kỹ hơn thì vấn đề ở chỗ người dùng cài đặt chương trình độc hại. Khi một hệ thống bị lây nhiễm, tin tặc có thể thực hiện bất kỳ việc gì với hệ thống đó – tùy vào độ phức tạp của mã độc, như chiếm hoàn toàn hệ thống, thao túng thông tin… Do đó, người dùng cần bảo vệ hệ thống của mình bằng việc cài đặt phần mềm diệt virus”.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: