TeamViewer 是一套檔案分享及通訊軟體,還能夠讓 IT 團隊用來遠端連線到企業員工的電腦。不幸的是,它強大的企業工具功能也使得它受到駭客的青睞。事實上,TeamViewer 已經被用在從帳號入侵到網路釣魚攻擊等各類網路犯罪活動。趨勢科技最近調查了另一起被惡意濫用的例子。
1月20日資安研究人員發現了一個惡意網址。這網址是一個開放目錄將受害者導向一個惡意自解檔。進一步分析該自解壓縮檔後發現這是個偽裝成 TeamViewer來收集竊取資料的木馬間諜軟體(趨勢科技偵測為TROJANSPY.WIN32.TEAMFOSTEALER.THOABAAI)。當此木馬間諜軟體被下載到受害者電腦並執行後,會建立資料夾%User Temp%\PmIgYzA並放入以下檔案:
- %User Temp%\PmIgYzA\FZhIG.ico
- %User Temp%\PmIgYzA\config.bin
- %User Temp%\PmIgYzA\0.0
- %User Temp%\PmIgYzA\TV.dll(惡意程式)
- %User Startup%\Gateway Layer 1.3957.lnk(指向被植入TeamViewer.exe的捷徑)
