Come sfruttare TeamViewer a fin di male

tv-blog

Come sfruttare TeamViewer a fin di male

I ricercatori di CheckPoint hanno scoperto un attacco mirato contro ufficiali di ambasciata e autorità finanziarie governative in tutto il mondo che sta facendo uso di un allegato malevolo che sembra apparentemente un documento top-secret e che utilizza come arma TeamViewer, il popolare software di accesso remoto e condivisione del desktop, per ottenere pieno controllo del computer infettato.

L’attacco ha le caratteristiche di un’APT e, dati gli obiettivi, i ricercatori sospettano che le sue motivazioni siano di tipo finanziario.

Ingegneria Sociale + TeamViewer

L’attacco comincia con un’email che apparentemente invia al target informazioni circa un fantomatico programma di finanziamento militare. Il file Excel allegato è contrassegnato come “Top Secret” e sembra provenire dal Dipartimento di Stato statunitense. Secondo i ricercatori, che hanno seguito la campagna, il documento è ben costruito e non c’è praticamente nulla che potrebbe insospettire il destinatario a parte il fatto che il nome dell’allegato è in cirillico.

Le vittime potenziali sono indotte ad abilitare macro e, facendo ciò, viene lanciato un programma legittimo AutoHotkeyU32.exe assieme ad uno script AHK, che chiama tre altri script AHK dalla URL del server command-and-control.

Gli script prendono screenshot del PC della vittima e catturano il suo username e informazioni sul sistema, mandandole al server C2. Il terzo script scarica una versione malevola di TeamViewer (vedi la seguenza degli eventi nell’illustrazione qui sotto).

La catena di eventi che scatena l’attacco

“Il file DLL malevolo di TeamViewer (TV.DLL) viene caricato tramite una tecnica di DLL side-loading e viene usato per aggiungere funzionalità a TeamViewer agganciando le API chiamate dal programma”, spiegano i ricercatori di Check Point in questo post.

Cerchi un’alternativa a TeamViewer? Scoprila qui

No Comments
Post a Comment