Cheval de troie utilisés dans les attaques TeamViewer à dérober des informations financières
CYBER NOUVELLES

Cheval de troie utilisés dans les attaques TeamViewer à dérober des informations financières

1 Star2 Stars3 Stars4 Stars5 Stars (Pas encore d'évaluation)
Loading ...

Une version de cheval de troie a été utilisé TeamViewer dans des attaques ciblées contre les institutions gouvernementales et financières.

L'application a été modifiée malicieusement pour dérober des informations financières des cibles en Europe et dans le monde. Parmi les pays ciblés sont le Népal, Kenya, Libéria, Liban, Guyane, et aux Bermudes.




En savoir plus sur les attaques basées sur TeamViewer

En analysant la chaîne d'infection et toute l'infrastructure d'attaque, Consultez les chercheurs point ont pu « suivre les opérations précédentes qui partagent de nombreuses caractéristiques avec fonctionnement interne de cette attaque ». Les experts ont également détecté un avatar en ligne d'un hacker russophone, qui semble être en charge des outils développés et utilisés dans cette attaque impliquant le cheval de troie TeamViewer.

La chaîne d'infection est initiée par un e-mail de phishing qui contient une des pièces jointes malveillantes MASQues un document secret des Etats-Unis. L'e-mail de phishing utilise la ligne objet leurre « Programme de financement militaire », et contient un document .xlsm avec un logo du Département d'Etat américain.

Cependant, un œil bien formé immédiatement remarqué que quelque chose ne va pas avec le document soigneusement élaboré. Comme expliqué par les chercheurs, les criminels "semblent avoir négligé certains artefacts cyrilliques (telles que le nom classeur) qui ont été laissés dans le document, et pourrait révéler plus d'informations sur la source de cette attaque".

en relation:
BackDoor.TeamViewer.49 est utilisé par les cyber-criminels pour relayer le trafic Web et cacher leur adresse IP réelle. Voir ce qu'il faut faire pour prévenir l'infection.
BackDoor.TeamViewer.49 Installe via une mise à jour de Flash, utilise TeamViewer.

En termes techniques, l'attaque doit être macros permet. Lorsque cela est fait, les fichiers sont extraits de cellules codées hexagonaux dans le document XLSM:

– Un programme AutoHotkeyU32.exe légitime.
– AutoHotkeyU32.ahk → un script AHK qui envoie une requête POST au C&serveur C et peut recevoir des URL de script AHK supplémentaires à télécharger et exécuter.

Les AHK scrips, au nombre de trois, sont en attente pour la prochaine étape qui comprend les éléments suivants:

hscreen.ahk: Prend une capture d'écran du PC de la victime et le télécharge sur C&Serveur C.
hinfo.ahk: Envoie le nom d'utilisateur et l'information ordinateur de la victime à la C&Serveur C.
Htvkahk: Télécharge une version malveillante de TeamViewer, exécute et envoie les informations de connexion à la C&Serveur C.

La variante de l'application malveillante autrement utile est exécutée via DLL à chargement latéral et contient une fonctionnalité modifiée. Il est également capable de cacher l'interface TeamViewer. De cette façon, les utilisateurs ciblés ne sont pas conscients que le logiciel fonctionne. Cela conduit à la possibilité d'enregistrer des informations d'identification de session TeamViewer un fichier texte ainsi que le transfert et l'exécution de plusieurs fichiers .EXE et .DLL.

Qu'est-ce que cela signifie? Le système ciblé est sujette au vol de données, les opérations de surveillance, et le compromis des comptes en ligne. Cependant, en raison de la nature des cibles (la plupart des organismes financiers), il semble que les criminels peuvent être tout à fait intéressés à des données financières plutôt que politique.

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum pour 4 ans. Bénéficie d' « M.. Robot » et les craintes de 1984 '. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles!

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...