Une version malveillante de TeamViewer utilisée dans des attaques informatiques
virus, Teamviewer, Hackers
Sécurité : Le logiciel de
bureau à distance est détourné de son usage initial par des
cybercriminels qui s’en servent à des fins malveillantes.
Une nouvelle attaque exploitant une version détournée de Teamviewer a
été identifiée par des chercheurs en sécurité. L’opération se concentre
sur le vol d'informations financières appartenant à des cibles
gouvernementales et financières en Europe et au-delà.
Des chercheurs de Check Point
ont déclaré lundi
que la campagne ciblait spécifiquement les responsables des finances
publiques et les ambassades en Europe, mais aussi au Népal, au Kenya, au
Libéria, au Liban, en Guyane et aux Bermudes.
Le vecteur d'infection commence par un courrier électronique de phishing
contenant une pièce jointe malveillante prétendant être un document
"Top Secret" en provenance des États-Unis.
Le courrier électronique envoyé aux victimes potentielles
contient la ligne d'objet "Programme de financement militaire" et le
document .XLSM joint au message a été conçu avec un logo du département
d'État américain dans le but de paraître crédible.
Si une cible télécharge et ouvre la pièce jointe, il lui est
demandé d'activer les macros, une méthode très utilisée par les
attaquants pour accéder au système de la victime. Dans ce cas, deux
fichiers sont extraits: un programme AutoHotkeyU32.exe légitime et une
DLL TeamViewer illicite.
Le programme AutoHotkeyU32 est utilisé pour envoyer une demande
POST au serveur de contrôle de l'attaquant, ainsi que pour télécharger
des scripts AHK capables de prendre une capture d'écran du PC cible et
de voler les informations de l'ordinateur qui sont ensuite envoyées au
serveur de contrôle.
TeamViewer est un logiciel bien connu, souvent utilisé dans l'entreprise
pour conserver un accès à distance aux PC et profiter de
fonctionnalités de partage d’écran à distance. Cependant, compte tenu de
ses capacités, le logiciel est aussi malheureusement utilisé par les
attaquants et les fraudeurs pour obtenir un accès frauduleux aux
systèmes.
Dans ce cas, le logiciel a été transformé en arme. La variante
malveillante est exécutée via le chargement de la DLL et contient des
fonctionnalités modifiées, notamment le masquage de l'interface
TeamViewer (afin que les victimes ne se rendent pas que le logiciel, est
en cours d'exécution), mais également la possibilité d'enregistrer les
informations d'identification de la session TeamViewer dans un fichier
texte, ainsi que le transfert et l’exécution de fichiers .exe et dll
supplémentaires.
Cela expose les systèmes des victimes au vol de données, à la
surveillance et potentiellement à la compromission des comptes en ligne.
Les entités gouvernementales ciblées étant souvent basées dans le
secteur de la finance, ce qui suggère que les acteurs de la menace ont
une motivation financière plutôt que potentiellement politique.
Une méthode déjà identifiée auparavant
Les principales cibles de la campagne sont des acteurs du secteur
financier public et le programme a été lié à des attaques passées
supposées être l'œuvre du même groupe de cybercriminels.
Les précédents cas utilisaient également une version modifiée de
TeamViewer, mais le vecteur d'attaque initial a changé. En 2018, par
exemple, des archives auto-extractibles ont été utilisées plutôt que des
documents malveillants activés par AutoHotKey. De fausses images,
utilisant par exemple des contenus volés au ministère des Affaires
étrangères du Kazakhstan et réadaptés, étaient utilisées.
Les
témoignages des campagnes précédentes suggèrent également que les
russophones étaient ciblés.
En outre, la DLL malveillante TeamViewer a été adaptée au fil du temps,
passant du simple vol d’information à une infrastructure plus moderne.
Les chercheurs disent qu'il est prouvé que le groupe qui se cache
derrière cette campagne est russe, grâce à un avatar connecté à un
utilisateur du forum russe appelé EvaPiks.
On pense que l’internaute identifié est, à tout le moins, le
développeur des outils utilisés dans la campagne et que l’historique du
pirate informatique en question renvoie aux forums de « carding » -
l'exploitation et l'échange d'informations financières volées, telles
que les données de cartes de crédit.
Selon le Département de la justice des États-Unis (DoJ), le carding a évolué
au cours des dernières années (.PDF) pour faciliter non seulement la fraude financière, mais aussi pour financer le terrorisme et le trafic de drogue.
Source. : Trojanized TeamViewer used in government, embassy attacks across Europe
