Categories: SicherheitVirus

Hacker setzen manipulierte TeamViewer-Version gegen Regierungen in Europa ein

Check Point hat eine Hacking-Kampagne analysiert, die sich gegen Regierungen und diplomatische Vertretungen in Europa sowie Nepal, Kenia, Liberia, Libanon, Guyana und Bermuda richtet. Ausgangspunkt ist eine Phishing-E-Mail mit einem Dateianhang, der angeblich streng geheime Dokumente des US-Außenministeriums enthält. Tatsächlich wird darüber eine zum Trojaner umgebaute Version des Fernwartungstools Teamviewer eingeschleust.

Der Dateianhang mit XLSM-Format verspricht Details zur Finanzierung eines Militärprogramms. Die Excel-Tabelle, die Markos enthält, wurde zudem mit dem Logo des State Department versehen, um sie als echt auszugeben. Wird die Tabelle geöffnet und wie gefordert die enthaltenen Makros aktiviert, werden zwei Dateien extrahiert und eingeschleust: die legitime Software AutoHotkeyU32.exe und eine schädliche Version der Teamviewer.dll.

Erstere ist für den Kontakt zu einem von den Angreifern kontrollierten Befehlsserver im Internet zuständig. Sie lädt zudem Skripte herunter, mit denen Screenshots angefertigt und Daten gestohlen werden.

TeamViewer ist ebenfalls eine legitime Software, die für Fernwartungszwecke oder auch die gemeinsame Nutzung eines Desktops eingesetzt wird. In den Händen von Cyberkriminellen kann TeamViewer jedoch auch zu einem mächtigen Hacker-Werkzeug werden.

So stellt die von den Angreifern verwendete schädliche Teamviewer.dll zwar die gewohnten Funktionen zur Verfügung, sie versteckt jedoch auf der Client-Seite – also beim Opfer – das übliche TeamViewer-Interface. Ein Opfer kann also nicht erkennen, dass die Software ausgeführt wird. Zudem bietet die manipulierte Version zusätzliche Funktionen wie die Möglichkeit, die Anmeldedaten der aktuellen Sitzung in einer Textdatei zu speichern und weitere EXE- und DLL-Dateien einzuschleusen und auszuführen.

Die Hintermänner der Kampagne sind also in der Lage, ein System vollständig zu überwachen und nahezu beliebige Daten zu stehlen, um beispielsweise Online-Konten der Opfer zu übernehmen. Check Point vermutet, da der Dateianhang einen finanziellen Hintergrund hat, dass auch die Kampagne finanziell und nicht politisch motiviert ist.

Check Point zufolge gibt es Verbindungen zwischen der jüngsten Kampagne und früheren Angriffen, bei den TeamViewer als Trojaner eingesetzt wurde. So vermuten die Sicherheitsforscher, dass eine Hackergruppe mit Verbindungen zu einem russischen Untergrundforum namens EvaPiks hinter den Attacken steckt. Allerdings änderten die unbekannten Täter im Lauf der Zeit den Angriffsvektor. 2018 nutzen Sie statt einer Excel-Tabelle mit Makros noch selbstextrahierende Archive. Auch den Funktionsumfang der manipulierten Teamviewer.dll sollen die Hacker im Lauf der Zeit deutlich erweitert haben – anfänglich erlaubte die Malware nur den Diebstahl von Informationen.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

22 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

22 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago