TeamViewerのトロイの木馬化されたバージョンは、政府および金融機関に対する標的型攻撃で使用されています.
このアプリケーションは、ヨーロッパおよび世界中のターゲットから財務情報を盗むように悪意を持って変更されています. 対象国の中にはネパールがあります, ケニア, リベリア, レバノン, ガイアナ, とバミューダ.
TeamViewerベースの攻撃の詳細
感染チェーン全体と攻撃インフラストラクチャを分析する, チェック・ポイントの研究者 「この攻撃の内部動作と多くの特性を共有する以前の操作を追跡する」ことができました. 専門家はまた、ロシア語を話すハッカーのオンラインアバターを検出しました, トロイの木馬化されたTeamViewerが関与するこの攻撃で開発および使用されたツールを担当しているようです。.
感染チェーンは、米国からの極秘文書を装った悪意のある添付ファイルを含むフィッシングメールによって開始されます. フィッシングメールでは、「MilitaryFinancingProgram」という魅力的な件名が使用されています, 米国国務省のロゴが付いた.XLSMドキュメントが含まれています.
でも, よく訓練された目で、注意深く作成されたドキュメントに何か問題があることにすぐに気づきます. 研究者によって説明されたように, 犯罪者「キリル文字のアーティファクトを見落としているようです (ワークブック名など) ドキュメントに残っていた, そして、この攻撃のソースに関するより多くの情報を明らかにする可能性があります」.
技術用語で, 攻撃を有効にするにはマクロが必要です. これが行われるとき, ファイルは、XLSMドキュメント内の16進エンコードされたセルから抽出されます:
– 正当なAutoHotkeyU32.exeプログラム.
– AutoHotkeyU32.ahk→POSTリクエストをCに送信するAHKスクリプト&Cサーバーであり、ダウンロードして実行するための追加のAHKスクリプトURLを受け取ることができます.
AHKスクリップ, 数は3, 次の段階を待っています。:
– hscreen.ahk: 被害者のPCのスクリーンショットを撮り、それをCにアップロードします&Cサーバー.
– hinfo.ahk: 被害者のユーザー名とコンピューター情報をCに送信します&Cサーバー.
– htv.ahk: TeamViewerの悪意のあるバージョンをダウンロードします, それを実行し、ログイン資格情報をCに送信します&Cサーバー.
それ以外の場合は有用なアプリの悪意のある亜種は、DLLサイドローディングを介して実行され、変更された機能が含まれています. TeamViewerインターフェイスを非表示にすることもできます. このようにして、対象となるユーザーはソフトウェアが実行されていることに気づきません。. これにより、TeamViewerセッションのクレデンシャルをテキストファイルに保存したり、より多くの.EXEファイルや.DLLファイルを転送および実行したりできるようになります。.
これは何を意味するのでしょうか? 対象となるシステムはデータが盗まれる傾向があります, 監視操作, とオンラインアカウントの侵害. でも, ターゲットの性質のため (主に金融機関), 犯罪者は政治的ではなく財務データに完全に関心があるようです.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: