Hjem > Cyber ​​Nyheder > Trojaniseret TeamViewer Anvendes i angreb til at stjæle finansielle oplysninger
CYBER NEWS

Trojanized TeamViewer Bruges i angreb til at stjæle finansielle oplysninger

En trojanized version af TeamViewer er blevet brugt i målrettede angreb mod statslige og finansielle institutioner.

Ansøgningen er skadelig at stjæle finansielle oplysninger fra mål i Europa og på verdensplan. Blandt de målrettede lande Nepal, Kenya, Liberia, Libanon, Guyana, og Bermuda.




Mere om TeamViewer-baserede angreb

Ved at analysere hele infektion kæden og angribe infrastruktur, Tjek Punkt forskere var i stand til ”at spore tidligere operationer, der deler mange karakteristika med dette angreb indre funktioner”. Eksperterne opdages også en online avatar af en russisktalende hacker, der synes at være ansvarlig for de værktøjer, der er udviklet og anvendt i dette angreb involverer trojanized TeamViewer.

Infektionen kæden er initieret af en phishing e-mail, der indeholder en ondsindet vedhæftninger masqueraded en top hemmelig dokument fra USA. Den phishing e-mail bruger lokke emnelinjen ”Military Financing Programme”, og indeholder en .XLSM dokument med et logo af det amerikanske Department of State.

Men, en veluddannet øje med straks bemærke, at der er noget galt med den omhyggeligt udformet dokument. Som forklaret af forskerne, de kriminelle ”synes at have overset nogle kyrilliske artefakter (såsom projektmappe navn) der blev efterladt i dokumentet, og kan potentielt afsløre mere information om kilden til dette angreb".

Relaterede: [wplinkpreview url =”https://sensorstechforum.com/backdoor-teamviewer-49-installs-via-flash-update-teamviewer/”] BackDoor.TeamViewer.49 Installerer via en Flash opdatering, bruger TeamViewer.

I tekniske termer, angrebet behov makroer til at være muliggør. Når dette er gjort, filerne ekstraheret fra hex kodet celler i XLSM dokument:

– En legitim AutoHotkeyU32.exe program.
– AutoHotkeyU32.ahk → en AHK script, der sender en POST anmodning til C&C server og kan modtage yderligere AHK script URL'er at downloade og udføre.

De AHK scrips, tre i antal, venter på den næste fase, som omfatter følgende:

hscreen.ahk: Tager et screenshot af ofrets pc og uploader det til C&C server.
hinfo.ahk: Sender ofrets brugernavn og computer oplysninger til C&C server.
Htvkahk: Downloader en ondsindet version af TeamViewer, udfører det og sender login-oplysninger til C&C server.

Den ondsindede variant af den ellers nyttig app sker via DLL side-læsning og indeholder modificeret funktionalitet. Det er også i stand til at skjule TeamViewer-grænsefladen. Denne måde målrettet brugere er uvidende om, at softwaren kører. Dette fører til muligheden for at gemme TeamViewer session legitimationsoplysninger til en tekstfil samt overførsel og udførelse af flere .EXE og dll-filer.

Hvad betyder det? Den målrettede system er udsat for tyveri af data, overvågningsoperationer, og kompromis af online-konti. Men, på grund af karakteren af ​​målene (meste finansielle organisationer), fremgår det, at kriminelle kan være helt interesseret i finansielle data snarere end politisk.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig