Teamviewer es Usado para Operaciones de Ciber-espionaje

Teamviewer es una herramienta de control remoto y creación de VPN (red privada virtual) ampliamente usada a nivel mundial. Si cae en manos equivocadas puede además permitir operaciones de vigilancia remota

Sergio Méndez Galindo
Sergio Méndez Galindo
21 de March · 552 palabras.
Hace escasas horas, el Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS Lab), junto con la NBF -Hungarian Security Authority- publicaron detalles sobre un importante ataque dirigido contra ese país. Los detalles sobre los objetivos concretos no se conocen y los incidentes permanecen clasificados.
Considerando las implicaciones de dicho ataque, Kaspersky Global research & Analisis ha desarrollado un análisis técnico de la campaña y de las muestras de malware relacionadas. Los ataques son perpetrados de la "familia" TeamSpy. Os ofrecemos una pequeña guía en forma de preguntas y un enlace al final de la noticia para poder descargar el informe técnico.

¿Qué es TeamSpy?

TeamSpy es un tipo de operación de ciber-vigilancia dirigida hacia políticos de alto nivel o activistas de Derechos Humanos, que se da principalmente en los países de Europa del Este. Las agencias gubernamentales también pueden llegar a ser víctimas de estos seguimientos, al igual que empresas privadas. Estos ataques tienen ya más de una década de historia y fueron previamente denunciados por activistas bielorrusos en 2012.

¿Por qué lo llamamos TeamSpy?

Los atacantes controlan los ordenadores de las víctimas remotamente, usando la suite de administración legal Teamviewer. Esta aplicación esta firmada certificados digitales legítimos y está en uso por más de 100 millones de personas en todo el mundo. Para evitar alertar al usuario de que está siendo espiado, los atacantes parchean periódicamente Teamviewer en memoria para destruir cualquier prueba de su presencia.

¿Qué tareas desarrolla el malware?
Se trata de una operación conjunta de vigilancia/reconocimiento y extracción de información confidencial. Los datos sensibles que figuran como objetivo son

NOMBRE DE MÓDULO
Bi
Detalles de Sistema Operativo e información de BIOS
Keylogger, sc_and_console
Seguimiento de pulsaciones de teclado y capturas de pantalla
GetIOSData
Historial de iTunes para dispositivos Apple
SystemInfoSafe
Recolección de datos sin producir rastros en el sistema
FileList2
Lista de archivos locales basados en el interés del atacante
NetscanFiles2
Listado de archivos remotos compartidos; búsqueda de contenido secreto/privado, cripto-claves y contraseñas
NetScanShares2
Listado de conexiones compartidas y servidores/dominios accesibles
SystemInfo
Información general de sistema y cuentas de usuario
Avicap32
Extiende las posibilidades de control remoto de Teamviewer para asegurar camuflaje y persistencia, así como autodefensa contra análisis manuales o protección automática del sistema

¿Qué se roba exactamente?
Los atacantes están interesados en documentos de Office (p.e, *.doc, *.rtf, *.xls, *.mdb) archivos PDF, imágenes de disco (p.e,*.tc, *.vmdk) y cualquier otro archivo que pueda contener información sensible, como las claves de cifrado (p.e,*. pgp, *.p12) y contraseñas (p.e, *pass*, *secret*, *saidumlo*, *секрет*.* and *парол*.*)

¿Qué es “saidumlo”?

Significa "Secreto" en georgiano. “секрет” quiere decir "secreto" en ruso, mientras que “парол” significa "contraseña".

¿Como pueden las organizaciones protegerse de este particular ataque?
1. Realizar un escaneo de sistema para comprobar si hay presencia de la aplicación "Teamviewer.exe".
2. Bloquear el acceso a los dominios e IP′s que corresponden al C2 o "Command-and-control" conocido (se puede ver en el documento técnico completo)
3.Desarollar un plan de mantenimiento de parches a niviel global en las organizaciones. Estas operaciones incluyen el uso de "kits de exploit" populares dirigidos hacia vulnerabilidades conocidas en el software de seguridad de los equipos.

Programas PC y software para acelerar el pc en nuestra web Mejor Antivirus

Comparte tu conocimiento y tus intereses con el mundo.

Publica un artículo →