Uma versão cavalos de Tróia, TeamViewer tem sido usado em ataques direcionados contra instituições governamentais e financeiras.
O aplicativo foi modificado de forma maliciosa para roubar informações financeiras de alvos na Europa e em todo o mundo. Entre os países visados são Nepal, Quênia, Libéria, Líbano, Guiana, e Bermuda.
Mais sobre os ataques baseados em TeamViewer
Ao analisar toda a cadeia de infecção e infraestrutura de ataque, Verifique pesquisadores apontam foram capazes de "rastrear operações anteriores que compartilham muitas características com o funcionamento interno deste ataque". Os especialistas também detectaram um avatar online de um hacker que fala russo, quem parece estar a cargo das ferramentas desenvolvidas e utilizadas neste ataque envolvendo o TeamViewer trojanizado.
A cadeia de infecção é iniciada por um e-mail de phishing que contém anexos maliciosos mascarados de um documento ultrassecreto dos Estados Unidos. O e-mail de phishing usa a linha de assunto atraente “Programa de Financiamento Militar”, e contém um documento .XLSM com um logotipo do Departamento de Estado dos EUA.
Contudo, um olho bem treinado para perceber imediatamente que algo está errado com o documento cuidadosamente elaborado. Conforme explicado pelos pesquisadores, os criminosos "parecem ter esquecido alguns artefatos cirílicos (como o nome da pasta de trabalho) que foram deixados no documento, e pode revelar mais informações sobre a origem desse ataque”.
Em termos técnicos, o ataque precisa de macros para ser ativado. Quando isso é feito, os arquivos são extraídos de células codificadas em hexadecimal dentro do documento XLSM:
– Um programa legítimo AutoHotkeyU32.exe.
– AutoHotkeyU32.ahk → um script AHK que envia uma solicitação POST para o C&Servidor C e pode receber URLs de script AHK adicionais para baixar e executar.
Os scripts AHK, três em número, estão esperando pelo próximo estágio que envolve o seguinte:
– hscreen.ahk: Tira uma captura de tela do PC da vítima e a envia para o C&servidor C.
– hinfo.ahk: Envia o nome de usuário da vítima e informações do computador para o C&servidor C.
– htv.ahk: Baixa uma versão maliciosa do TeamViewer, executa e envia as credenciais de login para o C&servidor C.
A variante maliciosa do aplicativo útil de outra forma é executada via carregamento lateral de DLL e contém funcionalidades modificadas. Também é capaz de ocultar a interface do TeamViewer. Desta forma, os usuários direcionados não sabem que o software está sendo executado. Isso permite salvar as credenciais da sessão do TeamViewer em um arquivo de texto, bem como a transferência e execução de mais arquivos .EXE e .DLL.
O que isto significa? O sistema visado está sujeito a roubo de dados, operações de vigilância, e comprometimento de contas online. Contudo, devido à natureza dos alvos (principalmente organizações financeiras), parece que os criminosos podem estar inteiramente interessados em dados financeiros em vez de dados políticos.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: