Check Point alerta sobre invasões a embaixadas americanas pelo TeamViewer

Anexo mal-intencionado chegava disfarçado e armava o software de controle remoto

Compartilhar:

Pesquisadores da Check Point detectaram um ataque direcionado contra funcionários das autoridades financeiras e representantes do governo em várias embaixadas americanas na Europa. O ataque, que começa com um anexo mal-intencionado, disfarçado como um documento secreto dos EUA, arma o TeamViewer, o popular software de acesso remoto e compartilhamento de desktop, para obter controle total do computador infectado.

Investigando toda a cadeia de infecção e a infraestrutura de ataque, a Check Point conseguiu rastrear operações anteriores que compartilham muitas características com o funcionamento interno desse ataque.

 

O fluxo de infecção começa com um documento XLSM com macros maliciosas, que é enviado para potenciais vítimas via e-mail sob o assunto “Programa de Financiamento Militar”:

Assunto do email: programa de financiamento militar

Nome do arquivo: “Military Financing.xlsm”

SHA-256:

efe51c2453821310c7a34dca30540

21d0f6d453b7133c381d75e3140901efd12

 

Vítimas

Conforme descrito no fluxo de infecção (Figura 2), um dos primeiros usos dos scripts AutoHotKey é fazer upload de uma captura de tela do PC comprometido.

 

O diretório para o qual as capturas de tela foram enviadas ficou exposto e pode ter sido visualizado navegando até o URL específico. No entanto, esses arquivos de captura de tela foram excluídos periodicamente do servidor e, por fim, a exibição de “diretório aberto” foi desativada. Até aquele momento, os pesquisadores puderam verificar algumas das vítimas desses ataques, já que a maioria das capturas de tela incluía informações de identificação.

 

A partir das metas que observadas pela telemetria Check Point, bem como das informações que coletamos do servidor, foi possível compor uma lista parcial de países, onde as autoridades foram alvo Nepal; Guiana; Quênia; Itália; Libéria; Bermudas; Líbano.

 

É difícil afirmar se existem motivos geopolíticos por trás dessa campanha olhando apenas a lista de países que ela estava mirando, já que não havia uma região específica e as vítimas vinham de diferentes lugares do mundo. No entanto, a lista de vítimas observadas revela um interesse particular do atacante no setor financeiro público, já que todos parecem ser funcionários governamentais escolhidos a dedo de várias autoridades fiscais.

 

Atribuição

 

Embora em tais campanhas geralmente não esteja claro quem está por trás do ataque, nesse caso, conseguimos localizar um usuário que parece estar por trás da atividade mencionada anteriormente, ativo em vários fóruns on-line, ou pelo menos o criador das ferramentas usadas no ataque.

 

Seguindo a trilha das campanhas anteriores, encontramos um usuário `CyberForum [.] Ru` que se chama” EvaPiks “. Em várias instâncias, o usuário sugere ou aconselha outros usuários a usar algumas das técnicas que testemunhamos em todas as campanhas.

 

Resumo

 

Por um lado, a partir das descobertas, este parece ser um ataque bem pensado que seleciona cuidadosamente um punhado de vítimas e usa um conteúdo de isca sob medida para atender aos interesses de seu público-alvo.

 

Por outro lado, alguns aspectos desse ataque foram realizados com menos cautela, e expuseram detalhes que geralmente são bem disfarçados em campanhas semelhantes, como as informações pessoais e o histórico on-line do criminoso, bem como a divulgação de seus códigos maliciosos. atividade.

 

A DLL maliciosa permite que o invasor envie cargas adicionais para uma máquina comprometida e as execute remotamente. Como não conseguimos encontrar essa carga útil e saber quais outras funcionalidades ela introduz além das fornecidas na DLL, as intenções reais do último ataque permanecem obscuras.

 

No entanto, o histórico de atividades do desenvolvedor por trás do ataque em fóruns de cardagem underground e as características da vítima podem implicar que o invasor está motivado financeiramente.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Dia da Internet: Phishing e data leak são duas das maiores ameaças ao usuário

Com o desenvolvimento acelerado da tecnologia, a crescente de tentativas de golpes no ambiente online também se torna uma realidade....
Security Report | Overview

Especialistas alertam para novos modelos personalizados de golpe com QR Code

Especialistas da Check Point Software identificaram novos ataques cibernéticos conhecidos por Quishing e explicam como evitar tais golpes...
Security Report | Overview

61% das empresas aumentarão investimento em Cloud Security, segundo relatório

As organizações participantes do estudo estimam que o aumento planejado dos investimentos em segurança na nuvem alcance os 37%, em...
Security Report | Overview

CTIR Gov emite recomendações de enfrentamento ao ransomware Black Basta

Em informe publicado no site oficial da organização, foram trazidas outras informações a respeito do malware, que tem mirado especificamente...