L’Italia è tra le vittime dell’attacco recentemente rilevato dai ricercatori di Check Point Software Technologies.
Diretto contro funzionari e rappresentanti delle autorità finanziarie governative in diverse ambasciate in Europa, l’attacco consiste in un allegato malevolo mascherato da documento “Top secret” statunitense, che diffonde TeamViewer, il popolare software di accesso remoto e condivisione del desktop, per ottenere il pieno controllo del computer infetto.
Modalità di attacco
Studiando l’intera catena di contagio e l’infrastruttura dell’attacco, Check Point è stata in grado di tracciare operazioni precedenti che condividono molte caratteristiche con il funzionamento interno di questo attacco.
La catena di contagio inizia con un documento XLSM contenente macro dannose, che viene inviato alle potenziali vittime via e-mail con l’oggetto “Military Financing Program”. Il documento include il logo del Dipartimento di Stato americano ed è contrassegnato come Top Secret.
Se si abilitano le macro, la versione malevola di TeamViewer DLL (TV.DLL) viene caricata tramite la tecnica di caricamento laterale della DLL, e viene utilizzata per aggiungere “funzionalità” a TeamViewer agganciando le API di Windows richiamate dal programma.
Le funzionalità modificate includono:
Nascondere l’interfaccia di TeamViewer, in modo che l’utente non sappia che è in esecuzione.
Salvare le attuali credenziali della sessione di TeamViewer in un file di testo.
Consentire il trasferimento e l’esecuzione di file EXE o DLL aggiuntivi.
L’elenco delle vittime che, oltre all’Italia, annovera anche Nepal, Guyana, Kenya, Liberia, Bermuda e Libano, rivela un particolare interesse dell’aggressore per il settore finanziario pubblico, in quanto tutti sembrano essere funzionari governativi scelti da diverse autorità fiscali.
Sebbene, di solito, in queste campagne non sia chiaro chi manovra dietro le quinte dell’attacco, in questo caso Check Point ha individuato un utente che sembra essere l’ideatore o che, quantomeno, è il creatore degli strumenti utilizzati nell’attacco.
Seguendo il percorso delle campagne precedenti è stato trovato un utente di CyberForum[.]ru che si chiama “EvaPiks”. Il codice macro suggerito da EvaPiks nel thread utilizzato nell’ultimo attacco, e alcuni dei nomi delle variabili come “hextext” non sono stati nemmeno cambiati.
La DLL dannosa consente all’aggressore di inviare payload aggiuntivi a un dispositivo compromesso e di eseguirli a distanza. Poiché non è stato possibile trovare un payload utile e sapere quali altre funzionalità introduce oltre a quelle previste nella DLL, le reali intenzioni dell’ultimo attacco rimangono poco chiare. Tuttavia, l’attività dello sviluppatore dietro l’attacco nei forum illegali e le caratteristiche delle vittime possono implicare che l’aggressore sia finanziariamente motivato.
