Un backdoor basado en TeamViewer aumenta su actividad en España

Escrito por Rubén Velasco
Seguridad

No es la primera vez que piratas informáticos se aprovechan de aplicaciones de cierto prestigio para llevar a cabo sus ataques informáticos. Recientemente, la empresa de seguridad Dr. Web ha detectado un aumento en la actividad de un troyano espía con funciones de puerta trasera, o backdoor y que implementa una versión modificada de TeamViewer enfocado principalmente al espionaje tanto de usuarios como de empresas en Estados Unidos, Gran Bretaña, Rusia y España.

Este troyano ya había sido visto con anterioridad en 2011, cuando fue denominado con el nombre técnico de BackDoor.TeamViewerENT.1. Este troyano ha recibido un gran número de modificaciones desde su primera detección hasta la fecha, lo que le convierte en una amenaza muy activa y peligrosa, especialmente teniendo en cuenta el aumento de su actividad más reciente. Además, este backdoor es capaz de instalar otro software malicioso, como keyloggers, para recopilar la mayor cantidad de datos posible sobre sus víctimas.

Aunque las primeras versiones de este troyano tan solo inyectaban una librería en la memoria para corromperla y abrir otros vectores de ataque, a día de hoy este backdoor implementa una instancia completa de TeamViewer para llevar a cabo los espionajes. Toda la configuración del troyano y sus funciones maliciosas se esconden en una librería llamada “avicap32.dll“, la cual se inyecta mediante diferentes técnicas en el sistema para dar comienzo la infección. Tras cargar la librería, el malware se encarga de esconder en el sistema una versión modificada de TeamViewer para dar lugar al ataque y descarga varios archivos tanto de ofuscación como para implementar otras amenazas.

Cuando este troyano monta su propia instancia de TeamViewer desactiva por defecto todos los mensajes de error del software de control remoto y lo configura como archivos de “solo lectura”, “ocultos” y “del sistema” para evitar que los antivirus puedan eliminarlos. En caso de que alguno de los archivos se corrompa o no funcione, el troyano lo descargará de nuevo desde el servidor C&C. Cuando un usuario abre el administrador de tareas de Windows, el troyano cierra TeamViewer para no levantar sospechas y lo abre de nuevo al cerrarlo.

Troyano Backdoor TeamViewer

A través de la puerta trasera que habilita este troyano, los piratas informáticos pueden:

  • Apagar o reiniciar el ordenador.
  • Eliminar / reinstalar / reiniciar TeamViewer.
  • Escuchar el micrófono.
  • Identificar y ver las Webcam.
  • Descargar y ejecutar archivos.
  • Actualizar toda la configuración del backdoor.
  • Conectarse a servidores específicos para abrir terminales y poder controlar desde ellos los ordenadores.

Como podemos ver, este troyano backdoor es una de las herramientas de espionaje más completas y complejas capaz de tomar el control completo de un ordenador y tener acceso tanto a las comunicaciones de las víctimas como abrir la puerta a posibles amenazas más complejas.

¿Qué opinas de este troyano backdoor que implementa una versión modificada de TeamViewer para permitir a los piratas informáticos tomar el control completo del sistema de las víctimas?

Quizá te interese:

Fuente > Dr. Web


Últimos análisis

Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10