TeamViewer utilizado como cavalo de Troia para atacar alvos governamentais

A Check Point Software Technologies Ltd. , fornecedora global em soluções de cibersegurança, detectou um ataque direcionado aos órgãos oficiais das autoridades financeiras governamentais e representantes de várias embaixadas da Europa. O ataque que começou com o envio de anexos maliciosos disfarçados de documentos top secret provenientes dos EUA, utilizou a popular plataforma de acesso remoto e compartilhamento de software TeamViewer para conseguir o controle total dos computadores infectados.

Por meio de investigação da cadeia de infecção e infraestrutura de ataque, a Check Point conseguiu detectar e localizar operações anteriores que compartilham várias características com o funcionamento interno deste ataque. Além disso, também foi descoberto um avatar de um hacker russo que, ao que tudo indica, estava encarregado de desenvolver as ferramentas utilizadas no ataque.

Não está claro se há motivos geopolíticos por trás desta campanha, uma vez que os países atacados foram o Nepal, Guiana, Quênia, Itália, Libéria, Bermudas e Líbano, e não uma região em especial. No entanto, as vítimas são provenientes de todas as partes do mundo.

Ao analisar os alvos infectados, a Check Point identificou um interesse particular por parte do atacante: o setor financeiro público, uma vez que todas as vítimas são funcionárias de vários órgãos fiscais.

Este é um ataque cuidadosamente planejado, o qual seleciona alvos muito específicos e envia conteúdo dissimulado à medida das vítimas para que aparente ser o mais verídico possível.

Serviç0
https://research.checkpoint.com/finteam-trojanized-teamviewer-against-government-targets/

SandBlast da Check Point

O malware usado neste ataque foi detectado com recurso ao Check Point Threat Emulation e Threat Extraction.

O Threat Emulation é uma funcionalidade de sandboxing de ameaças zero-day, usado pela SandBlast Network para disponibilizar as melhores taxas de detecção de ameaças, e é virtualmente imune a técnicas evasivas dos atacantes. Parte da solução Check Point SandBlast Zero-Day Protection, o Threat Emulation previne infecções de novo malware e ataques direcionados. A capacidade do Threat Extraction remove conteúdo de exploração, incluindo conteúdo ativo e objetos inseridos (embedded), reconstrói arquivos para eliminar potenciais ameaças e disponibiliza prontamente conteúdos seguros para os usuários manterem o fluxo de trabalho.

A Check Point Software Technologies Lt é um fornecedor em soluções de cibersegurança para governos e empresas a nível mundial. As suas soluções protegem os seus clientes dos ciberataques de 5ª geração com um índice de captura de malware, ransomware e outros tipos de ataques líderes no mercado. todos os ataques conhecidos combinando com o sistema de gestão de segurança mais completo e intuitivo. A Check Point Software protege mais de 100.000 empresas de todos os portes.