Die Sicherheitsforscher von Check Point haben eine Hacking-Kampagne analysiert, die hauptsächlich auf Regierungen und diplomatische Vertretungen in Europa und in Nepal, Kenia, Liberia, Libanon, Guyana und Bermuda zielt.
Es beginnt mit einer Phishing-Mail mit einem Dateianhang, der angeblich streng geheime Dokumente des US-Außenministeriums enthalten soll. In Wirklichkeit wird über diese anhängende Excel-Tabelle eine zum Trojaner umgebaute Version des Fernwartungstools Teamviewer eingeschleust.
Details des Angriffs
Der Anhang der Phishing-Mail hat das XLSM-Format und verspricht Details zur Finanzierung eines Militärprogramms. Die Excel-Tabelle, die gefährliche Makros enthält, wurde sogar mit dem Logo des State Department versehen, um sie so echter aussehen zu lassen.
Öffnet der Empfänger die Tabelle und aktiviert wie gefordert die enthaltenen Makros, werden zwei Dateien extrahiert und in den Rechner eingeschleust: die legitime Software AutoHotkeyU32.exe und eine verseuchte Version der Teamviewer.dll.
AutoHotkeyU32 ist für den Kontakt zu einem von den Angreifern kontrollierten Command-Server im Internet zuständig. Sie lädt außerdem Skripte herunter, mit denen später Screenshots angefertigt und Daten gestohlen werden.
Laut Check Point ist die Teamviewer.dll in der Lage, das normale Teamviewer-Benutzerinterface zu verbergen, so dass die Opfer nicht erkennen können, dass ihr Rechner im Hintergrund komplett überwacht wird und fast beliebige Dateien des Gerätes ausgelesen werden. Auch das Nachladen weiterer Schadsoftware ist kein Problem für die verseuchte Library.
Russische Hacker im Verdacht
Als Angreifer sehen die Sicherheitsfachleute von Check Point eine Hackergruppe mit Verbindungen zu dem russischen Untergrundforum EvaPics.