Check Point alerta sobre invasões a embaixadas americanas pelo TeamViewer

Anexo mal-intencionado chegava disfarçado e armava o software de controle remoto

Compartilhar:

Pesquisadores da Check Point detectaram um ataque direcionado contra funcionários das autoridades financeiras e representantes do governo em várias embaixadas americanas na Europa. O ataque, que começa com um anexo mal-intencionado, disfarçado como um documento secreto dos EUA, arma o TeamViewer, o popular software de acesso remoto e compartilhamento de desktop, para obter controle total do computador infectado.

Investigando toda a cadeia de infecção e a infraestrutura de ataque, a Check Point conseguiu rastrear operações anteriores que compartilham muitas características com o funcionamento interno desse ataque.

 

O fluxo de infecção começa com um documento XLSM com macros maliciosas, que é enviado para potenciais vítimas via e-mail sob o assunto “Programa de Financiamento Militar”:

Assunto do email: programa de financiamento militar

Nome do arquivo: “Military Financing.xlsm”

SHA-256:

efe51c2453821310c7a34dca30540

21d0f6d453b7133c381d75e3140901efd12

 

Vítimas

Conforme descrito no fluxo de infecção (Figura 2), um dos primeiros usos dos scripts AutoHotKey é fazer upload de uma captura de tela do PC comprometido.

 

O diretório para o qual as capturas de tela foram enviadas ficou exposto e pode ter sido visualizado navegando até o URL específico. No entanto, esses arquivos de captura de tela foram excluídos periodicamente do servidor e, por fim, a exibição de “diretório aberto” foi desativada. Até aquele momento, os pesquisadores puderam verificar algumas das vítimas desses ataques, já que a maioria das capturas de tela incluía informações de identificação.

 

A partir das metas que observadas pela telemetria Check Point, bem como das informações que coletamos do servidor, foi possível compor uma lista parcial de países, onde as autoridades foram alvo Nepal; Guiana; Quênia; Itália; Libéria; Bermudas; Líbano.

 

É difícil afirmar se existem motivos geopolíticos por trás dessa campanha olhando apenas a lista de países que ela estava mirando, já que não havia uma região específica e as vítimas vinham de diferentes lugares do mundo. No entanto, a lista de vítimas observadas revela um interesse particular do atacante no setor financeiro público, já que todos parecem ser funcionários governamentais escolhidos a dedo de várias autoridades fiscais.

 

Atribuição

 

Embora em tais campanhas geralmente não esteja claro quem está por trás do ataque, nesse caso, conseguimos localizar um usuário que parece estar por trás da atividade mencionada anteriormente, ativo em vários fóruns on-line, ou pelo menos o criador das ferramentas usadas no ataque.

 

Seguindo a trilha das campanhas anteriores, encontramos um usuário `CyberForum [.] Ru` que se chama” EvaPiks “. Em várias instâncias, o usuário sugere ou aconselha outros usuários a usar algumas das técnicas que testemunhamos em todas as campanhas.

 

Resumo

 

Por um lado, a partir das descobertas, este parece ser um ataque bem pensado que seleciona cuidadosamente um punhado de vítimas e usa um conteúdo de isca sob medida para atender aos interesses de seu público-alvo.

 

Por outro lado, alguns aspectos desse ataque foram realizados com menos cautela, e expuseram detalhes que geralmente são bem disfarçados em campanhas semelhantes, como as informações pessoais e o histórico on-line do criminoso, bem como a divulgação de seus códigos maliciosos. atividade.

 

A DLL maliciosa permite que o invasor envie cargas adicionais para uma máquina comprometida e as execute remotamente. Como não conseguimos encontrar essa carga útil e saber quais outras funcionalidades ela introduz além das fornecidas na DLL, as intenções reais do último ataque permanecem obscuras.

 

No entanto, o histórico de atividades do desenvolvedor por trás do ataque em fóruns de cardagem underground e as características da vítima podem implicar que o invasor está motivado financeiramente.

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...