Une version de cheval de troie a été utilisé TeamViewer dans des attaques ciblées contre les institutions gouvernementales et financières.
L'application a été modifiée malicieusement pour dérober des informations financières des cibles en Europe et dans le monde. Parmi les pays ciblés sont le Népal, Kenya, Libéria, Liban, Guyane, et aux Bermudes.
En savoir plus sur les attaques basées sur TeamViewer
En analysant la chaîne d'infection et toute l'infrastructure d'attaque, Consultez les chercheurs point ont pu « suivre les opérations précédentes qui partagent de nombreuses caractéristiques avec fonctionnement interne de cette attaque ». Les experts ont également détecté un avatar en ligne d'un hacker russophone, qui semble être en charge des outils développés et utilisés dans cette attaque impliquant le cheval de troie TeamViewer.
La chaîne d'infection est initiée par un e-mail de phishing qui contient une des pièces jointes malveillantes MASQues un document secret des Etats-Unis. L'e-mail de phishing utilise la ligne objet leurre « Programme de financement militaire », et contient un document .xlsm avec un logo du Département d'Etat américain.
Cependant, un œil bien formé immédiatement remarqué que quelque chose ne va pas avec le document soigneusement élaboré. Comme expliqué par les chercheurs, les criminels "semblent avoir négligé certains artefacts cyrilliques (telles que le nom classeur) qui ont été laissés dans le document, et pourrait révéler plus d'informations sur la source de cette attaque".
En termes techniques, l'attaque doit être macros permet. Lorsque cela est fait, les fichiers sont extraits de cellules codées hexagonaux dans le document XLSM:
– Un programme AutoHotkeyU32.exe légitime.
– AutoHotkeyU32.ahk → un script AHK qui envoie une requête POST au C&serveur C et peut recevoir des URL de script AHK supplémentaires à télécharger et exécuter.
Les AHK scrips, au nombre de trois, sont en attente pour la prochaine étape qui comprend les éléments suivants:
– hscreen.ahk: Prend une capture d'écran du PC de la victime et le télécharge sur C&Serveur C.
– hinfo.ahk: Envoie le nom d'utilisateur et l'information ordinateur de la victime à la C&Serveur C.
– Htvkahk: Télécharge une version malveillante de TeamViewer, exécute et envoie les informations de connexion à la C&Serveur C.
La variante de l'application malveillante autrement utile est exécutée via DLL à chargement latéral et contient une fonctionnalité modifiée. Il est également capable de cacher l'interface TeamViewer. De cette façon, les utilisateurs ciblés ne sont pas conscients que le logiciel fonctionne. Cela conduit à la possibilité d'enregistrer des informations d'identification de session TeamViewer un fichier texte ainsi que le transfert et l'exécution de plusieurs fichiers .EXE et .DLL.
Qu'est-ce que cela signifie? Le système ciblé est sujette au vol de données, les opérations de surveillance, et le compromis des comptes en ligne. Cependant, en raison de la nature des cibles (la plupart des organismes financiers), il semble que les criminels peuvent être tout à fait intéressés à des données financières plutôt que politique.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: