TeamViewer è un famosissimo software di condivisione del dekstop da remoto: è usato da oltre 1 miliardo di utenti e, ovviamente, è un target assai interessante per i cyber truffatori. Qualche giorno fa alcuni ricercatori di sicurezza hanno individuato una campagna malware che attacca gli ignari utenti con una versione manomessa e dannosa di TeamViewer.
N.B: il sito ufficiale di TeamViewer NON E'STATO COMPROMESSO. I download dal sito ufficiale sono sicuri. Le versioni dannose in analisi provengono da fonti di terze parti.
Tutto inizia il 20 Gennaio, quando un ricercatore di sicurezza che gestisce il Twitter di FewAtoms ha rilevato un URL dannoso contenente una directory aperta che conduceva gli utenti al download di un archivio auto-estraente. Analisi approfondite di questo archivio hanno portato a individuare, "travestito" appunto da TeamViewer un trojan-spyware programmato per raccogliere e rubare le informazioni dell'utente.
I file estratti dall'archivio vengono salvati nella cartella %User Temp% e sono:
- %User Temp%\PmIgYzA\FZhIG.ico
- %User Temp%\PmIgYzA\config.bin
- %User Temp%\PmIgYzA\0.0
- %User Temp%\PmIgYzA\TV.dll (il payload dannoso)
- %User Startup%\Gateway Layer 1.3957.lnk (collegamento al file copiato TeamViewer.exe).
Sotto è possibile vedere come la libreria TV.dll, il payload appunto, non rechi nessun certificato valido.
Una volta eseguito, questo malware raccoglie i dati dell'utente, ma anche molte informazioni relative al dispositivo infetto e le invia ad un server di comando e controllo con dominio hxxp://intersys32[.]com: tra i dati sottratti ci sono username e nome del computer, sistema operativo, architettura del sistema operativo, dimensioni della RAM, i privilegi di amministrazione e, nel caso presente, la soluzione antivirus. A questo malware sono collegati altri malware che riferiscono tutti allo stesso server di comando e controllo, tra i quali CoinSteal (un altro spyware che si auto rimuove appena terminato il compito) e Fareit (un altro spyware che funge anche da downloader di altri malware).
Le analisi sull'URL sopra citato invece hanno ribadito come questo URL sia parte di una più grande operatione di diffusione di trojan spyware. In ogni caso, nessuna novità: già in passato TeamViewer è stato usato per diffondere malware. Nelle precedenti campagne gli attaccanti usavano l'app di TeamViewer per infettare ignari utenti col malware per il furto dati TeamSpy.
URL dannosi collegati a questa campagna malware
hxxp://rosalos[.ug]/xxx/
hxxp://intersys32[.]com
Nessun commento:
Posta un commento