Casa > cibernético Notícias > Trojanized TeamViewer Used in Attacks to Steal Financial Information
CYBER NEWS

Trojanized TeamViewer utilizados em ataques para roubar dados bancários

Uma versão cavalos de Tróia, TeamViewer tem sido usado em ataques direcionados contra instituições governamentais e financeiras.

O aplicativo foi modificado de forma maliciosa para roubar informações financeiras de alvos na Europa e em todo o mundo. Entre os países visados ​​são Nepal, Quênia, Libéria, Líbano, Guiana, e Bermuda.




Mais sobre os ataques baseados em TeamViewer

Ao analisar toda a cadeia de infecção e infraestrutura de ataque, Verifique pesquisadores apontam foram capazes de "rastrear operações anteriores que compartilham muitas características com o funcionamento interno deste ataque". Os especialistas também detectaram um avatar online de um hacker que fala russo, quem parece estar a cargo das ferramentas desenvolvidas e utilizadas neste ataque envolvendo o TeamViewer trojanizado.

A cadeia de infecção é iniciada por um e-mail de phishing que contém anexos maliciosos mascarados de um documento ultrassecreto dos Estados Unidos. O e-mail de phishing usa a linha de assunto atraente “Programa de Financiamento Militar”, e contém um documento .XLSM com um logotipo do Departamento de Estado dos EUA.

Contudo, um olho bem treinado para perceber imediatamente que algo está errado com o documento cuidadosamente elaborado. Conforme explicado pelos pesquisadores, os criminosos "parecem ter esquecido alguns artefatos cirílicos (como o nome da pasta de trabalho) que foram deixados no documento, e pode revelar mais informações sobre a origem desse ataque”.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/backdoor-teamviewer-49-installs-via-flash-update-teamviewer/”] BackDoor.TeamViewer.49 Instala através de uma atualização do Flash, usos TeamViewer.

Em termos técnicos, o ataque precisa de macros para ser ativado. Quando isso é feito, os arquivos são extraídos de células codificadas em hexadecimal dentro do documento XLSM:

– Um programa legítimo AutoHotkeyU32.exe.
– AutoHotkeyU32.ahk → um script AHK que envia uma solicitação POST para o C&Servidor C e pode receber URLs de script AHK adicionais para baixar e executar.

Os scripts AHK, três em número, estão esperando pelo próximo estágio que envolve o seguinte:

hscreen.ahk: Tira uma captura de tela do PC da vítima e a envia para o C&servidor C.
hinfo.ahk: Envia o nome de usuário da vítima e informações do computador para o C&servidor C.
htv.ahk: Baixa uma versão maliciosa do TeamViewer, executa e envia as credenciais de login para o C&servidor C.

A variante maliciosa do aplicativo útil de outra forma é executada via carregamento lateral de DLL e contém funcionalidades modificadas. Também é capaz de ocultar a interface do TeamViewer. Desta forma, os usuários direcionados não sabem que o software está sendo executado. Isso permite salvar as credenciais da sessão do TeamViewer em um arquivo de texto, bem como a transferência e execução de mais arquivos .EXE e .DLL.

O que isto significa? O sistema visado está sujeito a roubo de dados, operações de vigilância, e comprometimento de contas online. Contudo, devido à natureza dos alvos (principalmente organizações financeiras), parece que os criminosos podem estar inteiramente interessados ​​em dados financeiros em vez de dados políticos.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...