Pesquisadores da Check Point detectaram um ataque direcionado contra funcionários das autoridades financeiras e representantes do governo em várias embaixadas americanas na Europa. O ataque, que começa com um anexo mal-intencionado, disfarçado como um documento secreto dos EUA, arma o TeamViewer, o popular software de acesso remoto e compartilhamento de desktop, para obter controle total do computador infectado.
Investigando toda a cadeia de infecção e a infraestrutura de ataque, a Check Point conseguiu rastrear operações anteriores que compartilham muitas características com o funcionamento interno desse ataque.
O fluxo de infecção começa com um documento XLSM com macros maliciosas, que é enviado para potenciais vítimas via e-mail sob o assunto “Programa de Financiamento Militar”:
Assunto do email: programa de financiamento militar
Nome do arquivo: “Military Financing.xlsm”
SHA-256:
efe51c2453821310c7a34dca30540
21d0f6d453b7133c381d75e3140901efd12
Vítimas
Conforme descrito no fluxo de infecção (Figura 2), um dos primeiros usos dos scripts AutoHotKey é fazer upload de uma captura de tela do PC comprometido.
O diretório para o qual as capturas de tela foram enviadas ficou exposto e pode ter sido visualizado navegando até o URL específico. No entanto, esses arquivos de captura de tela foram excluídos periodicamente do servidor e, por fim, a exibição de “diretório aberto” foi desativada. Até aquele momento, os pesquisadores puderam verificar algumas das vítimas desses ataques, já que a maioria das capturas de tela incluía informações de identificação.
A partir das metas que observadas pela telemetria Check Point, bem como das informações que coletamos do servidor, foi possível compor uma lista parcial de países, onde as autoridades foram alvo Nepal; Guiana; Quênia; Itália; Libéria; Bermudas; Líbano.
É difícil afirmar se existem motivos geopolíticos por trás dessa campanha olhando apenas a lista de países que ela estava mirando, já que não havia uma região específica e as vítimas vinham de diferentes lugares do mundo. No entanto, a lista de vítimas observadas revela um interesse particular do atacante no setor financeiro público, já que todos parecem ser funcionários governamentais escolhidos a dedo de várias autoridades fiscais.
Atribuição
Embora em tais campanhas geralmente não esteja claro quem está por trás do ataque, nesse caso, conseguimos localizar um usuário que parece estar por trás da atividade mencionada anteriormente, ativo em vários fóruns on-line, ou pelo menos o criador das ferramentas usadas no ataque.
Seguindo a trilha das campanhas anteriores, encontramos um usuário `CyberForum [.] Ru` que se chama” EvaPiks “. Em várias instâncias, o usuário sugere ou aconselha outros usuários a usar algumas das técnicas que testemunhamos em todas as campanhas.
Resumo
Por um lado, a partir das descobertas, este parece ser um ataque bem pensado que seleciona cuidadosamente um punhado de vítimas e usa um conteúdo de isca sob medida para atender aos interesses de seu público-alvo.
Por outro lado, alguns aspectos desse ataque foram realizados com menos cautela, e expuseram detalhes que geralmente são bem disfarçados em campanhas semelhantes, como as informações pessoais e o histórico on-line do criminoso, bem como a divulgação de seus códigos maliciosos. atividade.
A DLL maliciosa permite que o invasor envie cargas adicionais para uma máquina comprometida e as execute remotamente. Como não conseguimos encontrar essa carga útil e saber quais outras funcionalidades ela introduz além das fornecidas na DLL, as intenções reais do último ataque permanecem obscuras.
No entanto, o histórico de atividades do desenvolvedor por trás do ataque em fóruns de cardagem underground e as características da vítima podem implicar que o invasor está motivado financeiramente.