В мае 2016 года специалисты компании «Доктор Веб» обнаружили трояна BackDoor.TeamViewer.49, который устанавливал на зараженные компьютеры приложение TeamViewer и использовали его в качестве прокси. Теперь компания сообщает, что у этого вредоноса появился «собрат»: BackDoor.TeamViewerENT.1 (он же Spy-Agent) тоже использует в работе легальные компоненты TeamViewer.
Данное семейство троянов известно с 2011 года, и авторы малвари регулярно выпускают новые версии вредоносов, развивая свой «продукт». Эксперты пишут, что по архитектуре BackDoor.TeamViewerENT.1 напоминает BackDoor.TeamViewer.49, состоящий сразу из нескольких модулей. Но если найденный в мае троян использовал TeamViewer только для того, чтобы загрузить в память атакуемой машины вредоносную библиотеку, то новый бэкдор применяет TeamViewer для шпионажа.
Основные вредоносные функции малвари сосредоточены в библиотеке avicap32.dll, а настройки хранятся в зашифрованном конфигурационном блоке. Помимо специально созданной злоумышленниками вредоносной библиотеки троянец сохраняет на диск атакуемой машины необходимые для работы TeamViewer файлы и папки, а также несколько дополнительных файлов-модулей.
При этом злоумышленники эксплуатируют легитимные возможности Windows: если для работы приложению нужна загрузка динамической библиотеки, система сначала попытается найти файл с таким именем в той же папке, откуда была запущена программа, и лишь потом — в системных папках Windows. Так, приложению TeamViewer действительно необходима библиотека avicap32.dll, которая по умолчанию хранится в одной из системных директорий Windows. Малварь сохраняет вредоносную библиотеку с таким же именем прямо в папку с легитимным исполняемым файлом TeamViewer, в результате чего система загружает в память троянскую библиотеку вместо настоящей.
После запуска BackDoor.TeamViewerENT.1 отключает показ ошибок для процесса TeamViewer, устанавливает атрибуты «системный», «скрытый» и «только для чтения» своим собственным файлам и файлам этой программы, а затем перехватывает в памяти процесса TeamViewer вызовы функций этого приложения и ряда системных функций. Если для нормальной работы TeamViewer на атакованном компьютере не хватает каких-либо файлов или компонентов, троянец скачивает их со своего управляющего сервера. Помимо этого, если BackDoor.TeamViewerENT.1 обнаруживает попытку запуска программ «Диспетчер задач Windows» и Process Explorer, он завершает работу процесса TeamViewer на зараженной машине. Подключившись к управляющему серверу, бэкдор может выполнять следующие команды злоумышленников:
- перезагрузить ПК;
- выключить ПК;
- удалить TeamViewer;
- перезапустить TeamViewer;
- начать прослушивание звука с микрофона;
- завершить прослушивание звука с микрофона;
- определить наличие веб-камеры;
- начать просмотр через веб-камеру;
- завершить просмотр через веб-камеру;
- скачать файл, сохранить его во временную папку и запустить;
- обновить конфигурационный файл или файл бэкдора;
- подключиться к указанному удаленному узлу, после чего запустить cmd.exe с перенаправлением ввода-вывода на удаленный хост.
Данные команды открывают перед злоумышленниками широкие возможности для шпионажа за пользователями зараженных компьютеров, включая похищение конфиденциальной информации. В частности, известно, что с помощью этого троянца киберпреступники устанавливали на зараженные машины малварь из семейств Trojan.Keylogger и Trojan.PWS.Stealer.
Аналитики компании «Доктор Веб» провели исследование, в ходе которого удалось выяснить, что злоумышленники в разное время атакуют в основном жителей ряда определенных стран и регионов. Так, в июле 2016 года от атак в основном страдали жители Европы, особенно резиденты Великобритании и Испании, а в августе 2016 года злоумышленники переключились на резидентов США. Также специалисты обнаружили немало зараженных устройств на территории России.