Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé Teamviewer. Afficher tous les messages
Aucun message portant le libellé Teamviewer. Afficher tous les messages

dimanche 28 avril 2019

Une version malveillante de TeamViewer utilisée dans des attaques informatiques



Une version malveillante de TeamViewer utilisée dans des attaques informatiques


virus, Teamviewer, Hackers
 
 
Sécurité : Le logiciel de bureau à distance est détourné de son usage initial par des cybercriminels qui s’en servent à des fins malveillantes. 


Une nouvelle attaque exploitant une version détournée de Teamviewer a été identifiée par des chercheurs en sécurité. L’opération se concentre sur le vol d'informations financières appartenant à des cibles gouvernementales et financières en Europe et au-delà.
 
Des chercheurs de Check Point ont déclaré lundi que la campagne ciblait spécifiquement les responsables des finances publiques et les ambassades en Europe, mais aussi au Népal, au Kenya, au Libéria, au Liban, en Guyane et aux Bermudes.
Le vecteur d'infection commence par un courrier électronique de phishing contenant une pièce jointe malveillante prétendant être un document "Top Secret" en provenance des États-Unis.
Le courrier électronique envoyé aux victimes potentielles contient la ligne d'objet "Programme de financement militaire" et le document .XLSM joint au message a été conçu avec un logo du département d'État américain dans le but de paraître crédible.
Si une cible télécharge et ouvre la pièce jointe, il lui est demandé d'activer les macros, une méthode très utilisée par les attaquants pour accéder au système de la victime. Dans ce cas, deux fichiers sont extraits: un programme AutoHotkeyU32.exe légitime et une DLL TeamViewer illicite.
Le programme AutoHotkeyU32 est utilisé pour envoyer une demande POST au serveur de contrôle de l'attaquant, ainsi que pour télécharger des scripts AHK capables de prendre une capture d'écran du PC cible et de voler les informations de l'ordinateur qui sont ensuite envoyées au serveur de contrôle.
TeamViewer est un logiciel bien connu, souvent utilisé dans l'entreprise pour conserver un accès à distance aux PC et profiter de fonctionnalités de partage d’écran à distance. Cependant, compte tenu de ses capacités, le logiciel est aussi malheureusement utilisé par les attaquants et les fraudeurs pour obtenir un accès frauduleux aux systèmes.
Dans ce cas, le logiciel a été transformé en arme. La variante malveillante est exécutée via le chargement de la DLL et contient des fonctionnalités modifiées, notamment le masquage de l'interface TeamViewer (afin que les victimes ne se rendent pas que le logiciel, est en cours d'exécution), mais également la possibilité d'enregistrer les informations d'identification de la session TeamViewer dans un fichier texte, ainsi que le transfert et l’exécution de fichiers .exe et dll supplémentaires.
Cela expose les systèmes des victimes au vol de données, à la surveillance et potentiellement à la compromission des comptes en ligne. Les entités gouvernementales ciblées étant souvent basées dans le secteur de la finance, ce qui suggère que les acteurs de la menace ont une motivation financière plutôt que potentiellement politique.

Une méthode déjà identifiée auparavant

Les principales cibles de la campagne sont des acteurs du secteur financier public et le programme a été lié à des attaques passées supposées être l'œuvre du même groupe de cybercriminels.
Les précédents cas utilisaient également une version modifiée de TeamViewer, mais le vecteur d'attaque initial a changé. En 2018, par exemple, des archives auto-extractibles ont été utilisées plutôt que des documents malveillants activés par AutoHotKey. De fausses images, utilisant par exemple des contenus volés au ministère des Affaires étrangères du Kazakhstan et réadaptés, étaient utilisées.
Les témoignages des campagnes précédentes suggèrent également que les russophones étaient ciblés. En outre, la DLL malveillante TeamViewer a été adaptée au fil du temps, passant du simple vol d’information à une infrastructure plus moderne.
Les chercheurs disent qu'il est prouvé que le groupe qui se cache derrière cette campagne est russe, grâce à un avatar connecté à un utilisateur du forum russe appelé EvaPiks.
On pense que l’internaute identifié est, à tout le moins, le développeur des outils utilisés dans la campagne et que l’historique du pirate informatique en question renvoie aux forums de « carding » - l'exploitation et l'échange d'informations financières volées, telles que les données de cartes de crédit.
Selon le Département de la justice des États-Unis (DoJ), le carding a évolué au cours des dernières années (.PDF) pour faciliter non seulement la fraude financière, mais aussi pour financer le terrorisme et le trafic de drogue.
Source. : Trojanized TeamViewer used in government, embassy attacks across Europe


jeudi 15 décembre 2016

Comment contrôle à distance de son ordinateur ?




Voici quelques solutions, les plus répandus des contrôle de prise en main à distance.
On retrouvera notamment : LogmeIn, Teamviewer, GotoAssist, Chrome Remote Desktop et VNC.
Ces logiciels permettent donc de prendre la main sur l’ordinateur à distance, comme si vous étiez devant.
Cela peut se faire par internet et même pour certains solutions depuis un SmartPhone ou tablette.
teamviewer_logo

Chrome Remote Desktop

Chrome Remote Desktop se présente sous la forme d’une extension à installer sur Google Chrome : Télécharger Chrome Remote Desktop
Chrome Remote Desktop est gratuit et doit être utilisé à travers un compte Google.
Lorsque vous lancez l’extension, vous pouvez créer une icône Chrome Remote Desktop sur le bureau.
il est aussi possible d’accéder à Chrome Remote Desktop depuis les applications de Google : chrome://apps/
Vous devez ensuite vous connecter à un compte Google.chrome_remote_desktop
Vous pouvez alors partager l’écran ou accéder à un autre ordinateur qui a partagé l’écran.chrome_remote_desktop_6

Lorsque vous partager votre écran, un code de sécurité est généré.chrome_remote_desktop_3 Il suffit ensuite sur l’autre ordinateur de démarrer Chrome Remote Desktop puis Accéder et de saisir le code.chrome_remote_desktop_4 L’écran partagée devient alors accessible et on peut contrôler le bureau à distance.chrome_remote_desktop_5

LogmeIn

LogmeIn est plutôt pour une utilisation professionnelle : http://www.logmein.com
Il n’existe pas de licence gratuite pour un usage personnelle.
Un tutoriel LogmeIn existe sur le site : Tutoriel LogMeIn
LogmeIn permet de :
  • Accédez à vos ordinateurs depuis n’importe quel appareil
  • Stockez, partagez et collaborez sur des fichiers en un clic
  • Imprimez les documents distants sur une imprimante locale
Le tout fonctionnent à partir d’un compte LogMeIn où vous pouvez ajouter vos ordinateurs.
Une interface WEB peut vous permettre d’accéder au partage écran depuis n’importe quel ordinateur.
Vous pouvez aussi installer sur votre ordinateur LogMeIn Client pour contrôler et administrer les ordinateurs.
LogmeIn peut aussi fonctionner à partir d’une tablette ou SmartPhone.
L’application sur un Windows 8.
LogmeIn fonctionne avec un service Windows. Il est nul besoin que l’application soit lancée pour prendre la main dessus.
logmein_prise_main_distance et l’interface WEB de gestion.logmein_prise_main_distance_2 La prise de contrôle à distance.
logmein_prise_main_distance_3

Teamviewer

Teamviewer est un des logiciels de prise en main à distance les plus connus et utilisés.
Teamviewer est gratuit pour un usage personnelle (non commercial).
Un tutoriel Teamviewer existe sur le site : Tutoriel TeamViewer
teamviewer_prise_main_distante
Teamviewer génère un ID et un mot de passe que vous devez communiquer à votre partenaire.
Il est possible de figer l’ID et le mot de passe et de faire en sorte que Teamviewer tourne en fond sans rien devoir lancer sur l’ordinateur.
teamviewer_prise_main_distante_2
Exemple de prise en main :
teamviewer_prise_main_distante_3
Teamviewer permet divers actions, comme arrêter l’ordinateur ou transférer des fichiers.
Vous pouvez aussi chatter avec votre partenaire.
teamviewer_prise_main_distante_5
Le transfert de fichier de Teamviewer.
teamviewer_prise_main_distante_4

VNC

VNC est une application de prise en main à distance, dont le code source est libre.
Il existe des versions gratuites et payantes : RealVNC est une version payante, TightVNC est une version libre
VNC fonctionne en version Linux/et Windows. Il existe des clients pour Android.
VNC fonctionne en mode client/server. De ce fait, vous devez effectuer un transfert de ports pour pouvoir accéder sur l’ordinateur à transférer, si ce dernier est derrière un routeur/box.
Pour palier à cela, il existe toutefois VNC Repeater où un serveur VNC est créé et le client pourra effectuer une connexion sortante vers ce dernier.
Cet aspect ne sera pas abordé ici.
Exemple avec TightVNC.
L’accès VNC fonctionne avec un mot de passe.
La configuration du serveur VNC est aussi protégé par un mot de passe.
vnc_server_2
Il est possible de changer le port par défaut de VNC : 5900vnc_server
et de bloquer/autoriser des IPs :
vnc_server_4
Exemple de prise en main VNC :vnc_server_3

Quelques informations de sécurité concernant VNC, si vous comptez rendre votre ordinateur accessible par VNC depuis l’internet :
  • Je vous conseille de changer le port 5900 par défaut. Beaucoup de scans sont faits sur les ports VNC.
  • Filtrer l’accès par IP, avec un pare-feu par exemple.
Source.: