ESET ostrzega: infekcje przez narzędzie zdalnego dostępu

Firma ESET, producent programu antywirusowego ESET NOD32 Antivirus oraz proaktywnego pakietu bezpieczeństwa ESET Smart Security, zidentyfikowała zagrożenie Win32/Sheldor.NAD, które infekuje TeamViewer - znane narzędzie przeznaczone do zdalnej kontroli systemu. Sheldor umożliwia cyberprzestępcom realizację oszustw polegających m.in. na wykonywaniu za pośrednictwem zainfekowanego komputera nieautoryzowanych operacji bankowych.

Rosyjska firma Group-IB, prowadząca kompleksowe dochodzenia w sprawie cyberprzestępstw, przesłała w ubiegłym tygodniu do firmy ESET podejrzany program, który w jednej z dużych rosyjskich firm został wykorzystany do wyprowadzenia z jej kont bankowych kwoty 5 mln rubli. ESET przeanalizował zagrożenie i nadał mu nazwę Win32/Sheldor.NAD.

Według specjalistów z firmy ESET Sheldor może okazać się wyjątkowo groźny, ponieważ swoje działanie opiera na programie TeamViewer 5.0 – popularnym narzędziu umożliwiającym zdalną kontrolę nad komputerem użytkownika. Zwykle z programu TeamViewer korzystają pracownicy działów pomocy technicznej firm informatycznych, dzięki czemu mogą oni zdalnie wykonywać niezbędne naprawy na komputerach swoich klientów.

Win32/Sheldor atakuje elementy składowe programu TeamViewer, pozwalając cyberprzestępcy na przejęcie kontroli nad zainfekowaną maszyną i zrealizowanie za pomocą przechwyconego komputera kradzieży pieniędzy ze wskazanych kont bankowych bez wiedzy i zgody użytkownika. Sheldor wydaje się materializacją ostrzeżeń Davida Harley’a z firmy ESET, który wielokrotnie ostrzegał o niebezpieczeństwie wykorzystania narzędzi zdalnej kontroli i dostępu przez cyberprzestępców.

Zagrożenie wskazane przez ESET po przedostaniu się na dysk twardy komputera instaluje backdoora w katalogu %WINDIR%, po czym uruchamia serwer w trybie konsoli. Równolegle jeden z komponentów TeamViewera modyfikowany jest tak, aby poprzez panel kontrolny administratora możliwe było wstrzyknięcie do pliku tv.dll groźnego kodu. Następnie Sheldor pozwala atakującemu uruchomić wiersz poleceń, dzięki czemu może on m.in. stale monitorować działania użytkownika zainfekowanej maszyny, wymusić wyłączenie systemu lub komputera oraz, co chyba najbardziej przerażające, usunąć wszelkie ślady działań podjętych przez atakującego na zainfekowanym komputerze.

Według informacji laboratorium antywirusowego ESET najwięcej prób infekcji zlokalizowano do tej pory w Rosji (61,29% wszystkich prób infekcji tym zagrożeniem), na Ukrainie (19,35%) i w Kazachstanie (4,44%). Win32/Sheldor.NAD atakuje również polskich użytkowników (3,23% wszystkich prób infekcji tym zagrożeniem). Jak zapobiec infekcji Win32/Sheldor.NAD? Przede wszystkim zaktualizować system operacyjny oraz korzystać z TeamViewer w najnowszej wersji, a także zabezpieczyć komputer za pomocą pakietu bezpieczeństwa.