Banking Trojan incorporates legitimate remote control software

Banking Trojan incorporates legitimate remote control software

ESET พบโทรจันที่ชื่อว่า Sheldor สิงพบว่าเป็นส่วนหนึ่งของโปรแกรมสำหรับ Remote ชื่อว่า “TeamViewer” ซึ่งสามารถทำให้แฮ้คเกอร์รัน Command shell, ควบคุมเครื่องเหยื่อ , Monitor กิจกรรมของเครื่องเหยื่อได้ โดยที่นักวิจัยพบว่าโทรจันจะทำการฝัง Backdoor ไว้ใน path % WINDIR % และยังพบว่ามีองค์ประกอบของ TeamViewer ถูกดัดแปลงสำหรับยิงโค้ดเข้าไปไฟล์ vt.dll ทำการเชื่อมต่อผ่าน administrative control panel ได้ ซึ่งสามารถหลบหลีกขั้นตอนการยืนยันตัวตนที่บางธนาคารใช้เพิ่มเติมได้อีกด้วย

It seems that every technology made for “good” can be misused, and that also goes for software, apparently.

An ESET researcher has recently received a sample of the Sheldor Trojan, which has been found by Group-IB investigators while they were inspecting the systems if a major Russian company that fell prey to theft through unauthorized accounting transactions.

And this particular piece of malware incorporates the well-known TeamViewer remote control software, in order to allow the attacker to start a command shell on the compromised machine in order to control it, to toggle monitoring, to shut down Windows or to log off the user, and – if need be – to remove all traces of the bot.

“The dropper installs a backdoor in %WINDIR% and runs as server in console mod,” he explains. “One component of TeamViewer is modified in order to inject code into tv.dll, communicating through the administrative control panel.”

In this case, the TeamViewer component was obviously use to circumvent additional authentication mechanism that some bank use.

ที่มา : net-security

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *