Обнаружен троянец-бэкдор использующий TeamViewer

Обнаружен троянец-бэкдор использующий TeamViewer

Специалистам в области информационной безопасности известно несколько разновидностей вредоносных программ, использующих для получения несанкционированного доступа к зараженному компьютеру популярную утилиту удаленного администрирования TeamViewer.

Новый троянец BackDoor.TeamViewer.49, обнаруженный вирусными аналитиками компании «Доктор Веб» в мае 2016 года, является исключением из этого правила, поскольку эксплуатирует данную программу с совсем иными целями.

Для распространения троянца BackDoor.TeamViewer.49 киберпреступники используют другую вредоносную программу — Trojan.MulDrop6.39120, которая реализована в виде поддельного обновления Adobe Flash Player. Исполняемый файл Trojan.MulDrop6.39120 действительно устанавливает плеер на работающий под управлением Windows компьютер, но при этом втайне от пользователя сохраняет на диск приложение TeamViewer, троянца BackDoor.TeamViewer.49 и необходимый для его работы конфигурационный файл. В процессе установки на экране демонстрируется окно настоящего инсталлятора Flash Player.

Обычно различные троянцы используют TeamViewer с целью организации несанкционированного доступа к зараженному компьютеру. Однако бэкдору BackDoor.TeamViewer.49 утилита TeamViewer нужна совсем по другой причине: он активно использует в своей работе различные внутренние функции процесса этой программы. Кроме того, при своем запуске TeamViewer автоматически помещает в память компьютера библиотеку avicap32.dll, чем и воспользовались злоумышленники: они поместили в папку, в которую Trojan.MulDrop6.39120 сохраняет это приложение, троянскую библиотеку с таким же именем. В момент запуска TeamViewer автоматически загружает ее в память.

После запуска программы TeamViewer BackDoor.TeamViewer.49 удаляет ее значок из области уведомлений Windows и отключает в системе функцию показа сообщений об ошибках. Также троянец использует специальный механизм, призванный исключить его повторный запуск на зараженном компьютере. Необходимые для работы BackDoor.TeamViewer.49 параметры хранятся в зашифрованном конфигурационном файле.

BackDoor.TeamViewer.49 регистрирует себя в автозагрузке, а затем в непрерывном цикле, но с определенными интервалами, устанавливает атрибуты «системный» и «скрытый» для своей папки, где хранятся сам исполняемый файл, вредоносная библиотека и файл конфигурации. Если в какой-то момент времени установить эти атрибуты не удалось, вредоносная программа приступает к процедуре удаления из системного реестра всех ключей, относящихся к программе TeamViewer.

В теле троянца хранится еще одна зашифрованная библиотека, реализующая вредоносные функции BackDoor.TeamViewer.49. В ней содержится специальным образом сформированный массив с именами управляющих серверов, от которых троянец может получать различные команды. Вся информация, которой бэкдор обменивается с управляющим сервером, шифруется.

Троянец способен выполнять несколько управляющих директив, однако две основные из них — это команды на установку соединения с указанным удаленным узлом (включая возможность авторизации на нем) и на перенаправление трафика от управляющего сервера на заданный удаленный узел через инфицированный компьютер. Это позволяет злоумышленникам обеспечить собственную анонимность в Интернете, соединяясь с удаленными узлами через зараженный компьютер как через обычный прокси-сервер.

Комментарий пресс-службы TeamViewer:

"Компания TeamViewer провела внутреннее расследование инцидента и может подтвердить, что бреши в защите ПО TeamViewer отсутствуют. Распространители трояна устанавливают TeamViewer посредством  вредоносной программы. Это не делает TeamViewer вредоносной или уязвимой программой. С тем же успехом злоумышленники могли использовать и  другие легальные приложения. Просим пользователей загружать TeamViewer с официального сайта компании и применять антивирусные решения".

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

FunkSec: вымогатели пишут код на Rust и масштабируют атаки через ИИ

Специалисты из Kaspersky GReAT изучили новую кибергруппу FunkSec, появившуюся в конце 2024 года — и, судя по всему, мы наблюдаем будущее массовых атак. В арсенале злоумышленников — генеративный ИИ, мощный шифровальщик и набор дополнительных инструментов, с которыми они атакуют госсектор, финтех, образование и ИТ-компании в Европе и Азии.

Главное, что отличает FunkSec — это один-единственный исполняемый файл, написанный на Rust. Он умеет и шифровать данные, и красть их.

Кроме того, он завершает более 50 процессов на машине жертвы и сам себя удаляет после атаки, чтобы усложнить анализ. Всё это — в одном пакете.

Но FunkSec — не просто вымогатель. Вместе с ним идёт генератор паролей (подходит для брутфорса и атак методом распыления) и даже инструмент для DDoS. Во всех случаях заметны следы кода, написанного с помощью больших языковых моделей. Например, в шифровальщике встречаются команды сразу для разных ОС и комментарии-заглушки вроде «заглушка для фактической проверки».

«Мы всё чаще видим, что злоумышленники используют генеративный ИИ для создания вредоносных инструментов. Он ускоряет процесс разработки, позволяя атакующим быстрее адаптировать свои тактики, а также снижает порог вхождения в индустрию. Но такой сгенерированный код часто содержит ошибки, так что злоумышленники не могут полностью полагаться на новые технологии в разработке», — говорит Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.

Отдельно стоит упомянуть, что FunkSec требует сравнительно небольшой выкуп — иногда всего 10 тысяч долларов. А украденные данные продаёт дёшево. Такая стратегия делает атаки массовыми: заработать можно не на одной крупной жертве, а на десятках или сотнях мелких. И, как отмечают в GReAT, именно ИИ помогает группировке быстро масштабироваться.

Продукты «Лаборатории Касперского» определяют угрозу как HEUR:Trojan-Ransom.Win64.Generic.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru