TeamViewer utilizado como troiano para atacar alvos governamentais - Wintech

A Check Point® Software Technologies Ltd. , fornecedor líder especializado em cibersegurança a nível global, detetou um ataque direcionado aos oficiais das autoridades financeiras governamentais e representantes de várias embaixadas da Europa. O ataque que começou com o envio de anexos maliciosos disfarçados de documentos top secret provenientes dos EUA, utilizou a popular plataforma de acesso remoto e partilha de software TeamViewer para conseguir o controlo total dos computadores infetados.

Através da investigação da cadeia de infeção e infraestrutura de ataque, a Check Point conseguiu detetar e localizar operações anteriores que partilham várias características com o funcionamento interno deste ataque. Além disso também foi descoberto um avatar de um de hacker russo que ao que tudo indica estava encarregue de desenvolver as ferramentas utilizadas no ataque.  

Não é claro que existam motivos geopolíticos por detrás desta campanha uma vez que os países atacados foram o Nepal, Guiana, Quénia, Itália, Libéria, Bermudas e Líbano, e não uma região em específico. Para além disso as vítimas são provenientes de todas as partes do mundo.

No entanto, ao analisar os alvos infetados, a Check Point identificou um interesse particular por parte do atacante: o sector financeiro público, uma vez que todos os lesados são funcionários de várias autoridades fiscais.

Este é um ataque cuidadosamente planeado que seleciona targets muitos específicos e envia conteúdo dissimulado à medida das vítimas para que aparente ser o mais credível possível.

Para ficar a conhecer este crime em detalhe, aceda a: https://blog.trendmicro.com/trendlabs-security-intelligence/potential-targeted-attack-uses-autohotkey-and-malicious-script-embedded-in-excel-file-to-avoid-detection/

SandBlast da Check Point

O malware usado neste ataque foi detetado com recurso ao Check Point Threat Emulation e Threat Extraction.

O Threat Emulation é uma funcionalidade de sandboxing de ameaças zero-day, usado pela SandBlast Network para disponibilizar os melhores rácios de deteção de ameaças, e é virtualmente imune a técnicas evasivas dos atacantes. Fazendo parte da solução Check Point SandBlast Zero-Day Protection, o Threat Emulation previne infeções de novo malware e ataques direcionados. A capacidade do Threat Extraction remove conteúdo de exploração, incluindo conteúdo ativo e objetos embebidos, reconstrói ficheiros para eliminar potenciais ameaças, e disponibiliza prontamente conteúdos seguros para os utilizadores manterem o ritmo de trabalho.

Classifique este item
(0 votos)
Ler 219 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top