Detectan una campaña de ataques contra funcionarios europeos
- Actualidad
El ataque, que comienza con un archivo adjunto malicioso disfrazado de un documento secreto de los Estados Unidos, emplea una versión troyanizada de TeamViewer para hacerse con el control del equipo infectado. Entre los países afectados están Nepal, Guyana e Italia.
Recientemente, los investigadores de Check Point detectaron un ataque dirigido contra funcionarios de autoridades financieras gubernamentales y representantes en varias embajadas en Europa. El ataque, que comienza con un archivo adjunto malicioso disfrazado de un documento secreto de los EE. UU., emplea una versión troyanizada de TeamViewer, el popular software de acceso remoto y uso de escritorio compartido, para tener el control total del ordenador infectado.
El flujo de la infección comienza con un documento XLSM con macros maliciosas, que se envía a las posibles víctimas por correo electrónico bajo el tema "Programa de financiación militar". El documento bien elaborado lleva el logotipo del Departamento de Estado de los Estados Unidos y está marcado como Top Secret.
Una vez que se habilitan las macros, se extraen dos archivos de celdas codificadas en hexadecimal dentro del documento XLSM: un programa legítimo AutoHotkeyU32.exe y un script AHK que envía una solicitud POST al servidor de C&C y puede recibir direcciones URL de scripts de AHK adicionales para descargar y ejecutar, incluida una versión maliciosa de TeamViewer.
El DLL TeamViewer (TV.DLL) malicioso se carga mediante la técnica de carga lateral de DLL y se usa para agregar más "funcionalidad" a TeamViewer. La funcionalidad modificada incluye ocultar la interfaz de TeamViewer, para que el usuario no sepa que se está ejecutando; guardar las credenciales de la sesión de TeamViewer en un archivo de texto; y permitir la transferencia y ejecución de archivos EXE o DLL adicionales.
A partir de los objetivos que los investigadores han observado en su propia telemetría, así como de la información recopilada del servidor, han podido componer una lista parcial de países a los que se dirigieron los ataques, que incluyen Nepal, Guyana, Kenia, Italia, Liberia, Bermudas y Líbano. La lista de víctimas observadas revela un interés particular del atacante en el sector financiero público, ya que todos parecen ser funcionarios gubernamentales seleccionados.