BackDoor.TeamViewer.49 TeamViewer também emitiu uma declaração Leia>

Tem TeamViewer foi hackeado?

Durante o mês passado houve numerosos usuários TeamViewer relatando o acesso não autorizado em seus computadores que resultaram em perdas financeiras e credenciais roubadas.TeamViewer é um pacote de software usado por ambos os usuários pessoais e empresariais para o controle remoto, compartilhamento de desktop, transferências de arquivos e muito mais. TeamViewer também usa criptografia end-to-end para evitar um número de diferentes vetores de ataque em potencial, como Man in the Middle (MITM) e ataques de força bruta.

Estes relatórios de contas do PayPal drenados e credenciais roubadas foram principalmente encontradas no Reddit, mas também têm sido observados em um número de outros sites que remonta a 1 de Maio de 2016. A maior parte da atenção voltada para TeamViewer veio em 1º de junho em torno de 13:00 EST quando TeamViewer sustentada a 3 horas de duração ataque de negação de serviço destinado a sua infra-estrutura DNS.Também deve-se notar que no início do dia um usuário desconhecido tinha postado informações de DNS do TeamViewer em pastebin .

Pouco depois da interrupção, o TeamViewer emitiu uma declaração sobre o ataque e conexões não autorizadas:

“TeamViewer experimentou uma interrupção do serviço na quarta-feira, 1º de junho de 2016. A interrupção foi causada por um ataque de negação de serviço (DoS), que visa a infra-estrutura TeamViewer DNS-Server. TeamViewer respondeu imediatamente para corrigir o problema para trazer todos os serviços de back up “.

No momento da interrupção, os usuários começaram a ir ao Reddit para ver se havia quaisquer atualizações ou informações sobre a causa. A maioria dos usuários acabou aqui , onde vários usuários do TeamViewer compartilharam suas histórias de compromisso e logs de eventos que provam seus dispositivos foram comprometidos.

01 de junho de 2016 – Reddit – Em seguida, verifiquei meus registros em C: \ Arquivos de Programas (x86) \ TeamViewer \ TeamViewer11_Logfile.log e com certeza, ele mostra alguém ligado ao meu computador em 2h58, logo antes de as compras Paypal / transferências

24 de maio de 2016 – Blog de Tim Oliver – Alguém tinha realmente entrar na minha TeamViewer da Rússia, e por um breve momento teve o controle direto da minha NUC!

17 de maio de 2016 – Reddit – Eu abri o arquivo de log TeamViewer e viu dois diferentes [1] [2] ID teamviewer com dois IP diferente (uma da China e outra do Japão, a da China pertence a uma empresa pequena, um provedor China VPS (http://runidc.com/) [3], a do Japão parece ser um acesso Wi-Fi Hotspot)

01 de maio de 2016 – TeamViewer Fóruns – em 1 de Maio de 2016 (em 13:04 GMT + 3, Bucareste, Roménia) alguém cortar introdução meu PC do TeamViewer e roubou todas as minhas senhas de navegadores (IE, Firefox, Chrome, Opera) com um pouco fromhttp software: //www.nirsoft.net/utils/web_browser_password.html chamado WebBrowserPassView.

Após mais investigação, descobriu-se que este tem sido um problema persistente para o último mês.TeamViewer mesmo emitiu um comunicado de imprensa em 23 de maio, afirmando que:

TeamViewer está consternada com qualquer atividade criminosa; no entanto, a fonte do problema, de acordo com nossa pesquisa, é o uso descuidado, e não uma potencial falha de segurança no lado do TeamViewer. Portanto, o TeamViewer sublinhados os aspectos seguintes:

1. Nem foi TeamViewer cortado nem há uma falha de segurança

2. TeamViewer é seguro para uso e tem medidas de segurança adequadas no local

3. Nossa evidência aponta para o uso descuidado como a causa do problema relatado

4. A poucos passos simples irá ajudar a evitar eventuais abusos

Muitas pessoas têm sido rápidos em culpar TeamViewer, mas eles são realmente a culpa? Se TeamViewer tinha sido violada, estaríamos vendo um conjunto diferente de pontos de dados e contas violado em uma escala muito maior. Isto indica claramente que o problema é do lado do cliente, e há uma série de teorias para apoiar esta ideia. O primeiro envolve os vazamentos de banco de dados recentes sobre The Real Deal, um mercado darknet. Vendedor, Peace of Mind foi a venda de um número de bases de dados que vazaram com um total de mais de 100 milhões de credenciais. Sites como o LinkedIn, Tumblr e Myspace foram todos implicados. Uma das ideias populares é que os atacantes estão usando credenciais vazaram para ter acesso a outras plataformas digitais devido a senha e nome de usuário reutilização. Embora isso seja possível, temos visto outras evidências que sugerem isso é tudo resultado de uma campanha de malware visando a aplicação do lado do cliente do TeamViewer.

Recentemente, foi relatado pelo Dr. Web que foi BackDoor.TeamViewer.49:

“Um cavalo de Tróia para o Microsoft Windows que é transmitida por Trojan.MulDrop6.39120.principal carga útil do Trojan é incorporado na biblioteca avicap32.dll. Trojan.MulDrop6.39120 corre TeamViewer que carrega automaticamente a biblioteca para a memória do computador. Todas as linhas, importações e funções do processo do TeamViewer estão ativamente implementado por esta biblioteca malicioso. As partes mais críticas do código do Trojan são criptografados com base64 e RC4.

 

TeamViewer também emitiu uma declaração sobre BackDoor.TeamViewer.49, dizendo:

“A verdadeira questão parece ser a instalação de um programa de malware através da instalação durante um update Adobe Flash player manipulado. Com a instalação do programa malicioso, TeamViewer irá ser instalado no lado remoto. Retomando, a situação atual se desdobra da seguinte forma: O malware acima mencionado é espalhado através de outro malwares chamado Trojan.MulDrop6.39120 que é uma atualização forjada do Adobe Flash Player “.

“O arquivo executável de Trojan.MulDrop6.39120 instala o jogador no Windows. Enquanto isso, ele secretamente salva TeamViewer, BackDoor.TeamViewer.49, e um arquivo de configuração necessário no disco. Durante a instalação, uma janela do instalador legítimo do Flash Player é exibida. Quando os usuários instalar esta atualização maliciosos Flash Player, que recebem uma versão do Flash legítima, mas também a Trojan.MulDrop6 Trojan, que instala secretamente TeamViewer no computador da vítima “.

BackDoor.TeamViewer.49 corre em paralelo com os ataques atuais, mas algumas coisas simplesmente não combinam. O que provavelmente aconteceu é que estamos vendo atualmente a introdução de um novo exploit kit que está aproveitando uma vulnerabilidade para obter acesso a dispositivos com TeamViewer instalado neles. Uma vez que o atacante ganha acesso ao dispositivo, que executa um programa que recupera e recupera senhas que são armazenados em navegadores com ferramentas como ChromePass e WebBroswerPassView. Uma vez que o atacante tem a lista de senhas armazenadas, eles rapidamente exfiltrate o arquivo e começar a acessar contas do PayPal e Ebay em uma tentativa de comprar cartões de presente e outros itens turn-e-queima, que eles podem rapidamente revender.

ChromePass-window.jpeg
Figura: ChromePass

web-browser-pass-view
Figura: WebBrowserPassView

Um traço comum visto com esses ataques é que os atacantes são motivados pelo lucro à sua custa.Eles estão usando métodos de ataque muito básicas para direcionar fruto maduro. TeamViewer forneceu estas recomendações dentro de seu comunicado de imprensa:

TeamViewer recomenda:

• Os usuários devem evitar todos os afiliados ou adware bundles: Enquanto os usuários podem pensar que estão apenas baixar um programa inofensivo, o software poderia, de facto instalar outra coisa.

• Os usuários devem baixar TeamViewer somente através dos canais oficiais do TeamViewer, como o site do TeamViewer https://www.teamviewer.com

• Os usuários devem proteger qualquer conta de usuário – seja com o TeamViewer ou qualquer outro fornecedor – usando senhas exclusivas e seguras que são frequentemente alteradas.

• Os usuários devem garantir que eles tenham soluções anti-malware e segurança confiáveis em lugar em todos os momentos.

Ele também sugeriu que todos os usuários, não importa o que o serviço que você usa, criar uma senha diferente para cada conta. Além disso você também deve usar uma senha forte, complexa e mudá-las frequentemente. Nunca guarde suas senhas no seu browser. Os usuários também devem usar a autenticação de 2 fator quando possível. Para verificar para ver se o serviço oferece visita autenticação de dois fatores https://twofactorauth.org/