Una versión de TeamViewer troyanizado se ha utilizado en los ataques dirigidos contra las instituciones gubernamentales y financieras.
La aplicación ha sido modificado de forma malintencionada para robar información financiera de los blancos en Europa y en todo el mundo. Entre los países destinatarios son Nepal, Kenia, Liberia, Líbano, Guayana, y Bermuda.
Más acerca de los ataques basados en TeamViewer
Mediante el análisis de toda la cadena de infección y la infraestructura de ataque, Check Point investigadores fueron capaces de “realizar un seguimiento de las operaciones anteriores que comparten muchas características con el funcionamiento interno de este ataque”. Los expertos también detectaron un avatar en línea de un hacker de habla rusa, que parece estar a cargo de las herramientas desarrolladas y usadas en este ataque que implica la troyanizado TeamViewer.
La cadena de infección se inicia por un correo electrónico de phishing que contiene una adjuntos maliciosos masqueraded un documento de alto secreto de los Estados Unidos. El correo electrónico de phishing utiliza la línea de asunto atraer “Programa de Financiación Militar”, y contiene un documento .xlsm con un logotipo del Departamento de Estado de EE.UU..
Sin embargo, un ojo bien entrenado inmediatamente se dio cuenta de que algo está mal con el documento cuidadosamente elaborado. Según lo explicado por los investigadores, los criminales "parecen haber pasado por alto algunos artefactos cirílico (tales como el nombre del libro) que había quedado en el documento, y potencialmente podría revelar más información sobre el origen de este ataque".
En términos técnicos, el ataque debe ser macros permite. Cuando se hace esto, los archivos se extraen a partir de células hexagonales codificada dentro del documento XLSM:
– Un programa legítimo AutoHotkeyU32.exe.
– AutoHotkeyU32.ahk → un script AHK que envía una solicitud POST al C&servidor de C y puede recibir direcciones URL de script AHK adicionales para descargar y ejecutar.
Los vales AHK, en número de tres, están a la espera para la siguiente etapa que consiste en la siguiente:
– hscreen.ahk: Toma una captura de pantalla de la PC de la víctima y lo sube a la C&Servidor C.
– hinfo.ahk: Envía información de nombre de usuario y el ordenador de la víctima a la C&Servidor C.
– Htvkahk: Descargas una versión maliciosa de TeamViewer, lo ejecuta y envía las credenciales de acceso a la C&Servidor C.
La variante malicioso de la aplicación de otra manera útil se ejecuta a través de DLL de carga lateral y contiene modificado funcionalidad. También es capaz de ocultar la interfaz de TeamViewer. De esta manera los dirigidos a los usuarios no son conscientes de que el software se está ejecutando. Esto conduce a la posibilidad de guardar credenciales de sesión de TeamViewer en un archivo de texto, así como la transferencia y ejecución de varios archivos .EXE y .DLL.
¿Qué significa este? El sistema de destino es propenso al robo de datos, las operaciones de vigilancia, y el compromiso de las cuentas en línea. Sin embargo, debido a la naturaleza de los objetivos (organizaciones sobre todo financieros), parece que los criminales pueden ser totalmente interesado en los datos financieros en lugar de política.