امکان وجود بدافزار در TeamViewer
کاربران خدمات راه دور TeamViewer در هفتههای اخیر در مورد نفوذ به سامانههای آنها، خرید غیرمجاز از کارتهای اعتباری و خالی شدن حسابهای بانکی خود شکایت کردهاند. در ابتدا تصور شد که این مشکل بهخاطر نفوذ به خود TeamViewer است، اما این شرکت منکر چنین موضوعی شد. به جای آن اعلام کرد که از رمزهای عبور نباید دوباره استفادهشود، چرا که میلیونها رمز عبور بهخاطر نفوذهای مکرر به شبکههای اجتماعی در دسترس مهاجمان قرار داده شدهاست.برخی بر این باورند که یک بدافزار در حال فعالیت است. شواهدی در دست است که بستههای TeamViewer که دارای بدافزار هستند در حملات هرزنامه مورد استفاده قرار گرفتهاند و همین امر موجب شده که مهاجمان بتوانند دسترسی از راه دور خود را به سامانههای متعددی تضمین کنند. درحالیکه این حمله خاص هرزنامه از یک نسخه قدیمی TeamViewer استفادهمیکند، نمیتوان از امکان انجام حملات دیگر با استفاده از نسخههای جدیدتر چشم پوشید. این حمله هرزنامه به کاربران در ایتالیا با سوءاستفاده از موضوعات مختلفی ازجمله دسترسی به دادهها، شناسه شما مورد استفاده قرار گرفته است، نسخه آزمایشی رایگان 30روزه، سفارشهای ترکیبی، اطلاعات حساب شما و تأمین مالی حمله کردهاست. یک پرونده ساده جاوا اسکریپت به این پیامها ضمیمه شدهاست و هنگامیکه این پرونده اجرا میشود میتواند پروندههای متنوع دیگری را در داخل سامانه قربانی بارگیری کند؛ ازجمله یک کیلاگر که به شکل TSPY_DRIDEX.YYSUV شناخته شدهاست، یک نسخه دارای بدافزار TeamViewer که بهعنوان BKDR_TEAMBOT.MNS شناخته شدهاست و همچنین یک دسته پرونده که دو مورد بالا را اجرا کرده سپس خود را حذفمیکند. نسخه دارای بدافزار که موجب نصب این در پشتی میشود، بسیار قدیمی است، نسخه ۶.۰.۱۷۲۲۲.۰. نرمافزار TeamViewer6 ابتدا در دسامبر سال ۲۰۱۰ منتشر شد و در نوامبر سال ۲۰۱۱ با نسخه ۷ این نرمافزار جایگزین شد. نکته بعدی اینکه این نرمافزار در یک مکان غیرمعمول نصب میشود: %APPDATA%\Div (برخی از انواع آنها به جای این مکان، یک رونوشت از خود را در مسیر %APPDATA%/Addins قرار میدهند). این رفتار در همه موارد مختلف مشاهدهشده این حمله ثابت است. این نسخه از نرمافزار دارای در پشتی است، اما این کار با دستکاری نسخه قانونی آن صورت نگرفتهاست. به جای آن، دارای یک پرونده DLL اضافی است، avicap32.dll. (این پرونده DLL به نام BKDR_TEAMBOT.DLL شناخته شده است). در مورد کلاسیک سرقت دستور جستجوی DLL؛ نرمافزار قانونی TeamViewer از این DLL برای دو عملکرد استفادهمیکند، نسخه قانونی آن بخشی از خود ویندوز است. با این حال، نسخه حاضر آلوده به مهاجم اجازه میدهد تا کنترل نرمافزار TeamViewer را بهدست گیرد. این حمله خاص یکماه است که به کاربران در ایتالیا حمله میکند و زمان کافی در اختیار داشته تا رمزهای عبور و نامهای کاربری همه قربانیان را جمعآوری کند. حضور یک نسخه TeamViewer که دارای در پشتی است این احتمال را افزایش میدهد که نسخه جدیدتر نیز ممکن است هدف انجام حملات اخیر شود. یک موضوع دیگر که باید مورد توجه قرار گیرد این است که مدیران TeamViewer ممکن است بتوانند خسارت ناشی از این نسخههای قدیمی را کاهش دهند. همه اتصالات TeamViewer در ابتدا توسط کارگزارهای این شرکت انتقال پیدا میکنند؛ بنابراین میتوان اتصالاتی را که توسط این نسخههای پشتیبانینشده صورتمیگیرد در مرحلهی اول و درخواست ارتباط قطعکرد تا از استفاده مخرب جلوگیری شود. هرچند که متأسفانه اتصال همه کاربران نسخههای قدیمی را قطعمیکند. نرمافزارهای راهحل Trend Micro نظیر Trend Micro™ Security ،Smart Protection Suites و Worry-Free™ Business Security میتوانند از کاربران و مؤسسات کوچک در برابر این تهدید با کشف پرونده آلوده و پیامهای هرزنامه و مسدود کردن همه نشانیهای آلوده مربوطه محافظتکنند. از طرف دیگر، نرمافزار Trend Micro Deep Discovery دارای یک لایه بررسی ایمیل است که میتواند با کشف ضمیمهها و نشانیهای آلوده، شرکتها را محافظتکند. گردآوری و انتشار : آنتی ویروس دکتر وب  |
توسط : drweb در تاریخ : 31-03-1395, 15:43 بازدیدها : 2023
مطالب مشابه :
بازدید کننده گرامی ، بنظر می رسد شما عضو سایت نیستید
پیشنهاد می کنیم در سایت ثبت نام کنید و یا وارد سایت شوید .
پیشنهاد می کنیم در سایت ثبت نام کنید و یا وارد سایت شوید .