Campagne di Cyber Spionaggio con Team Viewer

 

Proto: N020417.

Con la presente Yoroi desidera informarLa che sono state recentemente rilevate campagne di phishing atte alla propagazione di malware di tipologia Trojan/RAT (Remote Access Tool) basato sul noto applicativo di gestione remota “TeamViewer”. Le peculiarità caratteristiche di questa tipologia di minaccia fa sì che eventuali attacchi portati a buon fine possano rappresentare un importante rischio per la sicurezza, in quanto l’attaccante remoto ha facoltà di controllare, spiare, monitorare e trafugare dati dall’host vittima.

L’utilizzo di software ad alta reputazione come TeamViewer per perseguire campagne di cyber-spionaggio è una pratica nota e già utilizzata da gruppi APT sin dal 2013, tuttavia nell’ultimo periodo si è rilevato l’utilizzo di questi metodi di attacco anche da parte di attaccanti a più ampio spettro: ad esempio in campagne di phishing basate su mail con oggetti generici come “Problems with your payments” provenienti da mittenti falsificati.

Fig.1 Esempio email di phishing (Courtesy of Malware-Traffic-Analysis)



La vittima viene così incentivata a navigare il portale malevolo, così  da permettere lo scaricamento della prima componente del malware la quale ha lo scopo di reperire lo strumento di controllo remoto vero e proprio (RAT).

Fig.2 Scaricamento del Trojan RAT


In seguito il RAT basato sul noto software di gestione remota  “TeamViewer” viene installato e nascosto all’interno del sistema , garantendo l’accesso persistente alla macchina della vittima. Di seguito sono riportati alcune evidenze comportamentali relative all’esecuzione della minaccia all’interno di un ambiente controllato.

Fig.3 – Comportamenti malevoli
Fig. 4 – Installazione RAT TeamViewer


Successivamente l’applicativo TeamViewer appositamente installato viene messo in esecuzione sul sistema, garantendo così l’accesso abusivo da parte dell’attaccante sulla macchina vittima. Questo tipo di attacco risulta particolarmente pericoloso in quanto i cyber-criminali che attuano questa tipologia di attacco sono potenzialmente in grado di bypassare parte dei sistemi di sicurezza perimetrali tipicamente in uso all’interno delle Organizzazioni, ad esempio sono in grado di evadere:

  1. Firewall di nuova generazione (NGFW), in quanto il traffico di rete effettuato a seguito dell’infezione è identico al traffico generato dal normale utilizzo di TeamViewer
  2. Antivirus, in quanto i file eseguibili installati sul sistema sono Firmati da organizzazioni fidate.


A questo proposito Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza e abusi di strumenti leciti, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di l’utilizzare di un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index