En trojanized version af TeamViewer er blevet brugt i målrettede angreb mod statslige og finansielle institutioner.
Ansøgningen er skadelig at stjæle finansielle oplysninger fra mål i Europa og på verdensplan. Blandt de målrettede lande Nepal, Kenya, Liberia, Libanon, Guyana, og Bermuda.
Mere om TeamViewer-baserede angreb
Ved at analysere hele infektion kæden og angribe infrastruktur, Tjek Punkt forskere var i stand til ”at spore tidligere operationer, der deler mange karakteristika med dette angreb indre funktioner”. Eksperterne opdages også en online avatar af en russisktalende hacker, der synes at være ansvarlig for de værktøjer, der er udviklet og anvendt i dette angreb involverer trojanized TeamViewer.
Infektionen kæden er initieret af en phishing e-mail, der indeholder en ondsindet vedhæftninger masqueraded en top hemmelig dokument fra USA. Den phishing e-mail bruger lokke emnelinjen ”Military Financing Programme”, og indeholder en .XLSM dokument med et logo af det amerikanske Department of State.
Men, en veluddannet øje med straks bemærke, at der er noget galt med den omhyggeligt udformet dokument. Som forklaret af forskerne, de kriminelle ”synes at have overset nogle kyrilliske artefakter (såsom projektmappe navn) der blev efterladt i dokumentet, og kan potentielt afsløre mere information om kilden til dette angreb".
I tekniske termer, angrebet behov makroer til at være muliggør. Når dette er gjort, filerne ekstraheret fra hex kodet celler i XLSM dokument:
– En legitim AutoHotkeyU32.exe program.
– AutoHotkeyU32.ahk → en AHK script, der sender en POST anmodning til C&C server og kan modtage yderligere AHK script URL'er at downloade og udføre.
De AHK scrips, tre i antal, venter på den næste fase, som omfatter følgende:
– hscreen.ahk: Tager et screenshot af ofrets pc og uploader det til C&C server.
– hinfo.ahk: Sender ofrets brugernavn og computer oplysninger til C&C server.
– Htvkahk: Downloader en ondsindet version af TeamViewer, udfører det og sender login-oplysninger til C&C server.
Den ondsindede variant af den ellers nyttig app sker via DLL side-læsning og indeholder modificeret funktionalitet. Det er også i stand til at skjule TeamViewer-grænsefladen. Denne måde målrettet brugere er uvidende om, at softwaren kører. Dette fører til muligheden for at gemme TeamViewer session legitimationsoplysninger til en tekstfil samt overførsel og udførelse af flere .EXE og dll-filer.
Hvad betyder det? Den målrettede system er udsat for tyveri af data, overvågningsoperationer, og kompromis af online-konti. Men, på grund af karakteren af målene (meste finansielle organisationer), fremgår det, at kriminelle kan være helt interesseret i finansielle data snarere end politisk.