Una versione trojanized di TeamViewer è stato utilizzato in attacchi mirati contro istituzioni governative e finanziarie.
L'applicazione è stata appositamente modificato per rubare informazioni finanziarie da obiettivi in Europa e nel mondo. Tra i paesi destinatari sono il Nepal, Kenia, Liberia, Libano, Guyana, e Bermuda.
Di più sugli attacchi basati su TeamViewer
Analizzando l'intera catena di infezione e le infrastrutture attacco, Controllare i ricercatori Point erano in grado di “tracciare le operazioni precedenti che condividono molte caratteristiche con il funzionamento interno di questo attacco”. Gli esperti hanno inoltre rilevato un avatar on-line di un hacker di lingua russa, che sembra essere responsabile degli strumenti sviluppati e utilizzati in questo attacco che coinvolge il trojanized TeamViewer.
La catena di infezione è iniziata da un e-mail di phishing contenente un allegati dannosi mascherati un documento top secret dagli Stati Uniti. L'e-mail di phishing utilizza l'oggetto attirare “Programma di finanziamento militare”, e contiene un documento .xlsm con il logo del Dipartimento di Stato USA.
Tuttavia, un occhio ben allenato con subito notato che qualcosa non va con il documento cura artigianale. Come spiegato dai ricercatori, i criminali "sembrano aver trascurato alcuni artefatti in cirillico (come ad esempio il nome di Cartella) che sono stati lasciati nel documento, e potrebbe potenzialmente rivelare ulteriori informazioni sulla fonte di questo attacco".
In termini tecnici, l'attacco ha bisogno di essere macro consente. Quando questo è fatto, i file vengono estratti da cellule esagonali codificato all'interno del documento XLSM:
– Un programma AutoHotkeyU32.exe legittima.
– AutoHotkeyU32.ahk → uno script AHK che invia una richiesta POST al C&server di C e può ricevere ulteriori URL di script AHK di scaricare ed eseguire.
I scrips AHK, in numero di tre, sono in attesa per la fase successiva che prevede le seguenti:
– hscreen.ahk: Prende uno screenshot del PC della vittima e lo carica al C&Server di C.
– hinfo.ahk: Invia informazioni nome utente e il computer della vittima alla C&Server di C.
– Htvkahk: Download una versione dannoso di TeamViewer, lo esegue e invia le credenziali di accesso al C&Server di C.
La variante maligni dell'app altrimenti utile viene eseguita tramite DLL caricamento laterale e contiene funzionalità modificata. È anche in grado di nascondere dell'interfaccia TeamViewer. Questo modo mirato utenti non sono consapevoli che il software è in esecuzione. Questo porta alla possibilità di salvare le credenziali di sessione TeamViewer in un file di testo così come il trasferimento e l'esecuzione di più file .EXE e .DLL.
Che cosa significa questo? Il sistema di mira è incline al furto di dati, operazioni di sorveglianza, e il compromesso di conti online. Tuttavia, a causa della natura degli obiettivi (organizzazioni per lo più finanziari), sembra che i criminali possono essere del tutto interessati a dati finanziari, piuttosto che politico.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: