Kompromittierte TeamViewer-Versionen sollen Schuld an Hacks sein

Sind mit einer Hintertür versehene TeamViewer-Downloads im Umlauf? Seit Wochen beschweren sich TeamViewer-Nutzer auf diversen Plattformen im Netz darüber, dass ihre Rechner über die Fernwartungs-Software angegriffen worden sind. Entsprechende Hinweise gingen auch bei heise Security ein. Der Hersteller der Software hatte kategorisch ausgeschlossen, dass die Angriffe durch einen Hack der eigenen Server ausgelöst wurden. Jetzt berichtet die Sicherheitsfirma Trend Micro von einer Angriffskampagne mit alten, verwanzten TeamViewer-Versionen in Italien.

Ganoven hatten Spam-Mails versendet, die beim Klick auf eine angehängte JavaScript-Datei eine trojanisierte TeamViewer-Version herunterladen und ausführen. Dabei handelt es sich um eine uralte TeamViewer-Variante von 2010 mit Versionsnummer 6.0.x – TrendMicro will allerdings nicht ausschließen, dass auch neuere manipulierte TeamViewer-Versionen im Umlauf sind. Die Sicherheitsfirma spekuliert, dass ähnliche Kampagnen für die in letzter Zeit beobachteten Angriffe verantwortlich sind.

Die Angreifer manipulieren die TeamViewer-Software nicht direkt, sondern laden eine DLL-Bibliothek nach, welche die bösartigen Funktionen zum Abgreifen von Daten enthält – ein klassisches Beispiel von DLL-Hijacking.

Update - 16.06.2016, 15:36 Uhr

Im Gespräch mit heise Security bekräftigte ein Sprecher von TeamViewer noch einmal, dass den Angriffen nach Erkenntnis der Firma vor allem schwache Passwörter und auf Drittseiten kompromittierte Zugangsdaten zu Grunde liegen. Anwender von Fernwartungssoftware sollten besonders vorsichtig sein und sicherstellen, dass sie Passwörter nicht wiederverwenden. Sonst könnten im Netz angebotene Passwortlisten verwendet werden, um TeamViewer-Installationen anzugreifen. (fab)