Недавно стало известно о компрометации большого количества рабочих станций, использующих TeamViewer для удаленного управления доступом. Изначально предполагалось, что причиной взлома компьютеров стала утечка данных компании TeamViewer, однако в компании опровергли эти слухи. Представители разработчика обвинили пострадавших пользователей в использовании небезопасных паролей.

Исследователи антивирусной компании Trend Micro обнаружили в Сети распространение инсталлятора TeamViewer, в состояв которого входит бэкдор. Злоумышленники использовали спам рассылки для установки устаревшей версии TeamViewer на компьютеры жертв в Италии. Не исключено, что именно таким образом пользовательские системы были взломаны.

В обнаруженной специалистами Trend Micro атаке использовался TeamViewer версии 6.0.17222.0, выпущенный еще в декабре 2010 года. В состав приложения входила подлинная версия инструмента для удаленного доступа совместно с одноименной системной библиотекой avicap32. dll (определяется как BKDR_TEAMBOT. DLL по классификации TrendMicro).

Приложение устанавливается в директорию %APPDATA%\Div или %APPDATA%/Addins на системе и может использоваться для получения полного контроля над компьютером жертвы. Библиотека, входящая в состав поддельного дистрибутива TeamViewer, является бэкдором с возможностями кейлогера. Учитывая особенности ОС Windows при подключении динамических библиотек, установленная таким образом библиотека активировалась при запуске устаревшей версии TeamViewer.

По информации Trend Micro, злоумышленники в течение месяца собирали логины и пароли пользователей на инфицированных системах.