Eine trojanisiert Version von Teamviewer wurde in gezielten Angriffen gegen Regierungs- und Finanzinstitute.
Die Anwendung wurde in böswilliger Absicht zu stehlen Finanzinformationen von Zielen in Europa verändert und weltweit. Unter den Zielländern sind Nepal, Kenia, Liberia, Libanon, Guyana, und Bermuda.
Mehr über die Teamviewer-basierten Angriffe
Durch die gesamte Infektionskette zu analysieren und Angriff Infrastruktur, Check Point Forscher konnten „frühere Operationen verfolgen, die viele Eigenschaften mit diesem Angriff Innenleben teilen“. Die Experten weisen auch ein Online-avatar von einem russisch sprechenden Hacker, das scheint bei diesem Angriff verantwortlich für die Werkzeuge entwickelt und verwendet, um die trojanisiert Viewer Beteiligung.
Die Infektionskette wird durch eine Phishing-E-Mail initiiert, die ein schädlichen Anhänge enthalten ein streng geheimes Dokument aus den Vereinigten Staaten masqueraded. Die Phishing-E-Mail verwendet die anlocken Betreffzeile „Military Financing Program“, und enthält ein XLSM Dokument mit einem Logo des US Department of State.
Jedoch, ein gut geschultes Auge mit sofort bemerken, dass etwas mit dem sorgfältig gestalteten Dokument falsch ist. Wie von den Forschern erklärt, die Kriminellen "scheinen einige kyrillische Artefakte zu übersehen haben (wie der Name der Arbeitsmappe) daß wurden im Dokument links, und möglicherweise weitere Informationen über die Quelle des Angriffs enthüllen".
In technischer Hinsicht, der Angriff muss Makros ermöglicht werden. Wenn dies geschehen ist, Die Dateien werden von Hex-codierten Zellen innerhalb des XLSM Dokument extrahiert:
– Ein berechtigtes AutoHotkeyU32.exe Programm.
– AutoHotkeyU32.ahk → ein AHK-Skript, das eine POST-Anfrage an die C sendet&C-Server und kann zusätzlichen AHK-Skript-URLs erhalten herunterzuladen und auszuführen.
Die AHK scrips, drei an der Zahl, für die nächste Stufe warten, die die folgenden Sachverhalte bezieht:
– hscreen.ahk: Nimmt einen Screenshot von dem PC des Opfers und lädt es auf die C&C-Server.
– hinfo.ahk: Sendet das Opfer Benutzername und Computerinformationen an die C&C-Server.
– Htvkahk: Lädt eine bösartige Version von Teamviewer, führt sie aus und sendet die Anmeldeinformationen an den C&C-Server.
Die böswillige Variante des ansonsten nützlichen app wird über DLL Seitenbeladung ausgeführt und enthält geänderte Funktionalität. Es ist auch in der Lage zu verstecken, die Teamviewer-Schnittstelle. Auf diese Weise gezielt Anwender wissen nicht, dass die Software läuft. Dies führt zu der Fähigkeit Teamviewer-Sitzung Anmeldeinformationen in eine Textdatei sowie die Übertragung und Ausführung von mehr .EXE und DLL-Dateien zu speichern.
Was bedeutet das? Das angestrebte System ist anfällig für Datendiebstahl, Überwachungsmaßnahmen, und der Kompromiss von Online-Konten. Jedoch, aufgrund der Art der Ziele (meist Finanzorganisationen), es scheint, dass Kriminelle in Finanzdaten vollständig interessiert sein, anstatt politische.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: