Aumenta el uso del backdoor basado en TeamViewer

No es ninguna una novedad que los ciberdelincuentes utilicen y se aprovechen de aplicaciones de cierto prestigio y renombre para llevar a cabo sus ataques informáticos. Recientemente, la empresa de seguridad Dr. Web ha detectado un incremento en la actividad de un troyano espía con funciones de puerta trasera o backdoor y que implementa una versión modificada de TeamViewer enfocado principalmente al espionaje tanto de usuarios como de empresas en Estados Unidos, Gran Bretaña, Rusia y España.

Este troyano ya había sido visto con anterioridad en 2011, cuando fue denominado con el nombre técnico de BackDoor.TeamViewerENT.1. Desde su primera detección hasta la actualidad, ha recibido un gran número de modificaciones, lo que le convierte en una amenaza muy activa y peligrosa, especialmente teniendo en cuenta el aumento de su actividad más reciente.

Características y funcionamiento

TeamViewer - textoEste backdoor es capaz de instalar otro software malicioso, como keyloggers, para recopilar la mayor cantidad de datos posible sobre sus víctimas. Aunque las primeras versiones de este troyano tan solo inyectaban una librería en la memoria para corromperla y abrir otros vectores de ataque, a día de hoy este backdoor implementa una instancia completa de TeamViewer para llevar a cabo los espionajes.

Toda la configuración del malware y sus funciones maliciosas se ocultan en una librería llamada “avicap32.dll“, la cual se inyecta en el sistema mediante diferentes técnicas para dar comienzo la infección. Tras cargar la librería, este programa malicioso se encarga de esconder en el sistema una versión modificada de TeamViewer para dar lugar al ataque y descarga de varios archivos. Cuando este troyano monta su propia instancia de TeamViewer desactiva por defecto todos los mensajes de error del software de control remoto y lo configura como archivos de “solo lectura”, “ocultos” y “del sistema” para evitar que los antivirus puedan eliminarlos. En caso de que alguno de los archivos no funcione, el troyano lo descargará de nuevo desde el servidor C&C.

Cuando un usuario abre el administrador de tareas de Windows, el virus cierra TeamViewer para no levantar sospechas y lo abre de nuevo al cerrarlo.

A través de la puerta trasera los piratas informáticos pueden:

Apagar o reiniciar el ordenador.

Eliminar, reinstalar y reiniciar TeamViewer.

Escuchar el micrófono.

Identificar y ver las Webcam.

Descargar y ejecutar archivos.

Actualizar toda la configuración del backdoor.

Conectarse a servidores específicos para abrir terminales y poder controlar desde ellos los ordenadores.

Se considera una de las herramientas de espionaje más completas y complejas de la actualidad, ya que es capaz de hacerse con el control total de un ordenador y tener acceso tanto a las comunicaciones de los usuarios como abrir la puerta a posibles amenazas más complejas.

Community Manager y apasionada de las redes sociales

 

Acerca de

Nethive es una consultora tecnológica independiente especializada en la prestación de servicios informáticos con amplia experiencia en el sector de las telecomunicaciones.

En este blog nuestros técnicos publican información relevante sobre la industria tecnológica internacional, imprescindible para conocer, por ejemplo, ciberataques y riesgos que puedan comprometer la seguridad de su empresa.

Solicitar presupuesto sin compromiso

Ofrecemos servicios informáticos que ayudarán a su empresa a ser más eficiente, efectiva y competitiva. Si cree que podríamos encajar en sus necesidades, deje que nos pongamos en contacto.