Een trojanized versie van TeamViewer is gebruikt in gerichte aanvallen tegen overheids- en financiële instellingen.
De applicatie is schadelijk, aangepast om de financiële informatie van targets te stelen in Europa en wereldwijd. Onder de beoogde landen Nepal, Kenia, Liberia, Libanon, Guyana, en Bermuda.
Meer over de TeamViewer-gebaseerde aanvallen
Door het analyseren van de gehele infectie keten en aanvallen infrastructuur, Check Point onderzoekers waren in staat om “te volgen eerdere activiteiten die vele kenmerken delen met de innerlijke werking van deze aanval”. De deskundigen ook ontdekt een online avatar van een Russisch sprekende hacker, die lijkt te worden belast met de instrumenten ontwikkeld en gebruikt bij deze aanval met betrekking tot de trojanized TeamViewer.
De infectie keten wordt geïnitieerd door een phishing-e-mail die is voorzien van een kwaadaardige attachments masqueraded een top geheim document uit de Verenigde Staten. De phishing e-mail maakt gebruik van de lokken onderwerpregel “Military Financing Program”, en bevat een .xlsm document met een logo van het Amerikaanse ministerie van Buitenlandse Zaken.
Echter, een goed opgeleide oog met meteen dat er iets mis is met de zorgvuldig opgebouwde document. Zoals uitgelegd door de onderzoekers, de criminelen "lijken sommige Cyrillisch artefacten te hebben over het hoofd gezien (zoals de naam Werkboek) die werden achtergelaten in het document, en zou kunnen onthullen informatie over de bron van deze aanval".
In technische termen, de aanval moet macro's worden in-. Wanneer dit wordt gedaan, de bestanden worden geëxtraheerd uit hex gecodeerde cellen in het xlsm document:
– Een legitieme AutoHotkeyU32.exe programma.
– AutoHotkeyU32.ahk → een AHK-script dat een POST-aanvraag verstuurt naar de C&C server en kan extra AHK script URL's te downloaden en uit te voeren ontvangen.
De AHK scrips, drie in getal, wachten op de volgende fase, die de volgende impliceert:
– hscreen.ahk: Neemt een screenshot van de pc van het slachtoffer en uploadt het aan de C&C server.
– hinfo.ahk: Stuurt gebruikersnaam en gegevens over de computer van het slachtoffer aan de C&C server.
– Htvkahk: Download een kwaadaardige versie van TeamViewer, uitvoert en stuurt de inloggegevens van de C&C server.
De kwaadaardige variant van de verder bruikbare toepassing vindt plaats via DLL-side laden en bevat gewijzigde functionaliteit. Het is ook in staat het verbergen van de TeamViewer grensvlak. Op deze manier beoogde gebruikers zijn zich niet bewust dat de software wordt uitgevoerd. Dit leidt tot de mogelijkheid om TeamViewer sessie referenties op te slaan in een tekstbestand, alsmede de overdracht en de uitvoering van meer EXE en DLL-bestanden.
Wat betekent dit? De beoogde systeem is gevoelig voor diefstal van gegevens, surveillance operaties, en compromissen van online accounts. Echter, door de aard van de doelstellingen (vooral financiële instellingen), het lijkt erop dat criminelen volledig geïnteresseerd in de financiële gegevens in plaats van politiek kan zijn.