نسخه‌ی پشتیبانی نشده نرم‌افزار TeamViewer برای ایجاد در پشتی و کی‌لاگر مورد بهره‌رداری قرار می‌گیرد!

کاربران خدمات راه دور TeamViewer در هفته‌های اخیر در مورد نفوذ به سامانه‌های آن‎ها، خرید غیرمجاز از کارت‌های اعتباری و خالی شدن حساب‌های بانکی خود شکایت کرده‌اند. در ابتدا تصور شد که این مشکل به خاطر نفوذ به خود TeamViewer است، اما این شرکت منکر چنین موضوعی شد. به جای آن اعلام کرد که از رمزهای عبور نباید دوباره استفاده شود، چرا که به خاطر نفوذهای مکرر به شبکه‌های اجتماعی میلیون‌ها رمز عبور در دسترس مهاجمان قرار داده شده است.

برخی بر این باورند که یک بدافزار به نوعی در حال فعالیت است و مشکل اصلی آن است. شواهدی در دست است که بسته‌های TeamViewer که دارای بدافزار هستند در حملات هرزنامه مورد استفاده قرار گرفته‌اند و همین امر موجب شده که مهاجمان بتوانند دسترسی از راه دور خود را به سامانه‌های متعددی تضمین کنند. در حالی که این حمله‌ی خاص هرزنامه از یک نسخه‌ی قدیمی TeamViewer استفاده می‌کند، نمی‌توان از امکان انجام حملات دیگر با استفاده‌ از نسخه‌های جدیدتر چشم پوشید.

این حمله‌ی هرزنامه به کاربران در ایتالیا با سوءاستفاده از موضوعات مختلفی که در زیر ذکر شده، حمله کرده است:‌
دسترسی به داده‌ها
شناسه شما مورد استفاده قرار گرفته است
نسخه آزمایشی رایگان ۳۰ روزه
سفارش‌های ترکیبی
اطلاعات حساب شما
تأمین مالی
یک پرونده ساده‌ی جاوا اسکریپت به این پیام‎ها ضمیمه شده است و هنگامی که این پرونده اجرا می‌شود می‌تواند پرونده‎های متنوع دیگری را در داخل سامانه‌ی قربانی بارگیری کند:‌
یک کی‌لاگر که به شکل TSPY_DRIDEX.YYSUV شناخته شده است.
یک نسخه‌ی دارای بدافزار TeamViewer که به عنوان BKDR_TEAMBOT.MNS شناخته شده است.
یک دسته پرونده که دو مورد بالا را اجرا کرده و سپس خود را حذف می‌کند.

نسخه‌ی دارای بدافزار که موجب نصب این در پشتی می‌شود، بسیار قدیمی است، نسخه‌ی ۶.۰.۱۷۲۲۲.۰. نرم‌افزار TeamViewer ۶ ابتدا در دسامبر سال ۲۰۱۰ منتشر شد و در نوامبر سال ۲۰۱۱ با نسخه‌ی ۷ این نرم‌افزار جایگزین شد. نکته بعدی اینکه این نرم‌افزار در یک مکان غیرمعمول نصب می‌شود: %APPDATA%\Div (برخی از انواع آن‎ها به جای این مکان، یک رونوشت از خود را در مسیر %APPDATA%/Addins قرار می‌دهند). این رفتار در همه‌ی موارد مختلف مشاهده شده‌ی این حمله، ثابت است.
این نسخه از نرم‌افزار دارای در پشتی است، اما این کار با دستکاری نسخه‌ی قانونی آن صورت نگرفته است. به جای آن، دارای یک پرونده DLL اضافی است، avicap۳۲.dll. (این پرونده DLL‌ به نام BKDR_TEAMBOT.DLL شناخته شده است). در مورد کلاسیک سرقت دستور جستجوی DLL؛ نرم‌افزار قانونی TeamViewer از این DLL برای دو عملکرد استفاده می‌کند، نسخه‌ی قانونی آن بخشی از خود ویندوز است. با این حال، نسخه‌ی حاضر آلوده به مهاجم اجازه می‌دهد تا کنترل نرم‌افزار TeamViewer را به دست گیرد.

این حمله‌ی خاص یک ماه است که به کاربران در ایتالیا حمله می‌کند و زمان کافی در اختیار داشته تا رمزهای عبور و نام‌های کاربری همه‌ی قربانیان را جمع‌آوری کند. حضور یک نسخه‌ی TeamViewer که دارای در پشتی است این احتمال را افزایش می‌دهد که نسخه‌ی جدیدتر نیز ممکن است هدف انجام حملات اخیر شود.
یک موضوع دیگر که باید مورد توجه قرار گیرد این است که مدیران TeamViewer ممکن است بتوانند خسارت ناشی از این نسخه‌های قدیمی را کاهش دهند. همه‌ی اتصالات TeamViewer در ابتدا توسط کارگزارهای این شرکت انتقال پیدا می‌کنند. بنابراین می‌توان اتصالاتی را که توسط این نسخه‌های پشتیبانی نشده صورت می‌گیرد در مرحله‌ی اول و درخواست ارتباط قطع کرد، تا از استفاده‌ی مخرب جلوگیری شود. هر چند که متأسفانه اتصال همه‌ی کاربرانی را که از نسخه‌های قدیمی استفاده می‌کنند، قطع می‌کند.

نرم‌افزارهای راه‌حل Trend Micro نظیر Trend Micro™ Security ،Smart Protection Suites و Worry-Free™ Business Security می‌توانند از کاربران و مؤسسات کوچک در برابر این تهدید با کشف پرونده آلوده و پیام‌های هرزنامه و مسدود کردن همه‌ی نشانی‌های آلوده‌ی مربوطه محافظت کنند. از طرف دیگر، نرم‌افزار Trend Micro Deep Discovery دارای یک لایه‌ی بررسی رایانامه است که می‌تواند با کشف ضمیمه‌ها و نشانی‌های آلوده، شرکت‌ها را محافظت کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap