Trojanizovani TeamViewer vreba korisnike
Trojanizovani TeamViewer je otkriven od strane sigurnosnih istraživača Cyble Research & Intelligence Labs (CRIL) koji su posmatrali jedan od uobičajenih načina dostave zlonamjernog softvera, u kojem zlonamjerni akteri koriste dobro poznate aplikacije i alatke kao mehanizme dostave.
Trojanizovani TeamViewer vreba korisnike; Dizajn: Saša Đurić
Trojanizovani TeamViewer
Sigurnosni istraživači su otkrili obmanjujuće korištenje aplikacije TeamViewer, koja je široko prihvaćena aplikacija za daljinsko upravljanje, dijeljenje radne površine, sastanke, prenos datoteka i kolaborativni rad na različitim uređajima. Istraživanja su pokazala da je ova aplikacija iskorištena za dostavljanje zlonamjernog softvera njRAT. Pored aplikacije TeamViewer, ovaj zlonamjerni softver se isporučuje uz nelegitimno izmijenjene aplikacije WireShark i Process Hacker.
Zlonamjerni softver njRAT
Zlonamjerni softver njRAT prvobitno otkriven 2012. godine, poznat još i pod nazivom Bladabindi, prvenstveno je ciljao organizacije u bliskoistočnim zemljama. Ovaj trojanac predstavlja značajnu prijetnju privatnosti, bezbjednosti i integritetu pogođenih sistema, jer je sposoban za obavljanje niza zlonamjernih aktivnosti, uključujući praćenje korisničke aktivnost unosa podataka, krađu lozinki, slanje podataka, pristup kamerama uređaja i mikrofonima i preuzimanje dodatnih datoteka.
Analiza ovog napada na korisnike je pokazala da se 32-bitna verzija Smart Installer aplikacije koristi kao mehanizam za dostavu zlonamjernog softvera njRAT. Ovaj alat za instalaciju softvera dostavlja dvije datoteke u Windows direktorijum, od kojih je jedna njRAT zlonamjerni softver, a druga TeamViewer aplikacija.
Kada se instalaciona datoteka pokrene, dolazi do pokretanja njRAT zlonamjernog softvera zajedno sa legitimnom TeamViewer aplikacijom, pokušavajući da se prevari korisnik sa upitom koji zahtjeva od korisnika da nastavi sa instalacijom TeamViewer aplikacije. Dok je korisnik uvjeren da vrši instalaciju legitimnog softvera, u pozadini njRAT zlonamjerni softver neprimjetno sprovodi svoje zlonamjerne radnje unutra kompromitovanog uređaja.
Kako bi zadržao svoju postojanost na uređaju, njRAT zlonamjerni softver vrši izmjene u podešavanjima sistema, počevši od sistemskih registara kako bi zaobišao pojavu sigurnosnih prozora koji traže dozvole, do toga da podešava svoje automatsko pokretanje kako kroz sistemske registre, tako i kroz dodavanje u startup direktorijum.
Nakon što su početna podešavanja uspješno izvršena, njRAT zlonamjerni softver pokreće praćenje korisničke aktivnost unosa podataka, snimajući pritiske tastera korištenjem namjenske programske niti sa kontinuiranim praćenjem i skladištenjem snimljenih podataka. Pored toga, prikupljaju se i različite sistemske informacije poput verzije operativnog sistema Windows, servisnih paketa, trenutnog datuma, korisničkog imena, informacije o kamerama na uređaju, arhitekturi sistema i specifičnim ključevima u sistemskim registrima. Prikupljeni podaci se šifruju korištenjem base64 šeme šifrovanja da bi se olakšalo slanje podataka.
Kada se završi prikupljanje podatka, dolazi do uspostavljanja veze sa serverom za komandu i kontrolu (C&C) u svrhu prenosa prikupljenih informacija. Adresa C&C servera i port su unaprijed konfigurisani unutar datoteke. Nakon prenosa informacija, njRAT zlonamjerni softver ulazi u stanje mirovanja čekajući dalja uputstava sa C&C servera. Kada primi novu komandu, zlonamjerni softver upoređuje primljenu komandu sa unaprijed određenim skupom čvrsto kodiranih komandi i nastavlja da izvrši navedenu radnju u skladu sa tim.
Zaštita
Kako bi se zaštitili, korisnicima se preporučuje preuzimanje alata i aplikacija samo sa zvaničnih Internet lokacija, omogućavanje automatskog ažuriranja softvera, korištenje renomiranih bezbjednosnih softvera i oprez pri otvaranju nepouzdanih veza ili priloga elektronske pošte.
Zaključak
Iako je skoro čitavu deceniju prisutan, njRAT zlonamjerni softver je i dalje popularan alat za daljinski pristup kod zlonamjernih aktera. Pored toga, metod distribucije njRAT zlonamjernog softvera pokazuje snalažljivost i prilagodljivost zlonamjernih aktera u efikasnom širenju zlonamjernog softvera kroz aplikacije koje su u širokoj upotrebi. Ova vrsta napada predstavlja značajnu prijetnju za privatnosti, bezbjednost i integritet pogođenih sistema i to je nešto što korisnici moraju uzeti u obzir.
