BackDoorTeamViewer | El nuevo troyano de TeamViewer

Uno de los objetivos principales de los ciberdelincuentes, es aprovechar la popularidad de algún software, para hacer de las suyas y cometer fraudes, robo de información, infecciones de malware, etc. Una de las herramientas que a logrado tener mucha popularidad dentro de su ámbito, es TeamViewer, el cual es un software de control remoto, que nos puede servir para la administración, para el mantenimiento preventivo o correctivo de un equipo, sin embargo, puede ser usado para el mal.

Un malware descubierto por Dr. Web (vía Softpedia) es capaz de convertir una computadora infectada en un servidor proxy para ocultar direcciones IP.

Segun el reporte, se hace mencion de un backdoor llamado BackDoor.TeamViewer.49 el cual proviene del malware Trojan MulDrop6.39120. Este malware se distribuye en una actualización falsa de Flash Player, la actualización es efectiva y se instala como debe de ser, pero durante la instalación el malware instala también el software de control remoto para mantenimiento a distancia, llamado TeamViewer.

Éste a su vez contiene un archivo DLL alterado, avicap32.dll, el cual es ejecutado automáticamente por TeamViewer. Aprovechando esta tarea, quienes perpetran los ataques sólo deben configurar el software para ejecutarse automáticamente y ocultar el icono del programa en la barra de notificaciones, evitando la sospecha del usuario.

Sin embargo, el BackDoor.TeamViewer.49 no ha hecho su papel, ya que espera a que las tareas mencionadas antes sean completadas. Cuando todo está listo, éste conecta la PC a un servidor de control y comando a la espera de instrucciones, usualmente configurando el host afectado para funcionar como un servidor proxy.

Los atacantes, podrian tener acceso total, a la maquina infectada, pero optaron por la opción de usarla como un servidor proxy, para enmascarar sus IP reales, y poder cometer delitos informáticos, sin tener que pasas por el riesgo de que identifiquen su verdadera IP, y en vez de esto, culpar la IP de la maquina infectada.

El uso de TeamViewer como plataforma intermedia para llevar a cabo ataques informáticos no es nada nuevo, sin embargo, los expertos de seguridad de Dr.Web aseguran que es la primera vez que ven este nuevo uso de la plataforma. Tal como aseguran los investigadores de seguridad, la principal finalidad de este troyano es la convertir los ordenadores de las víctimas en proxies a través de los cuales puedan enmascarar sus actividades y su IP a la hora de actuar en la red. Analizando el troyano se ha podido demostrar que en ningún momento roba ningún tipo de información personal de las víctimas.