Specjaliści z firmy Check Point ostrzegają przed nowym atakiem, wymierzonym m.in. w firmy i instytucje ze Starego Kontynentu. Przestępcy próbują instalować w komputerach ofiar złośliwe oprogramowanie i wykradać poufne dane – wykorzystując do tego m.in. zmodyfikowaną wersję popularnego narzędzia TeamViewer.
Standardowy TeamViewer to aplikacja pozwalająca na zdalny dostęp do systemu operacyjnego – wykorzystuje się ją m.in. do świadczenia wsparcia technicznego oraz pracy grupowej online. Jej możliwości często są jednak wykorzystywane przez przestępców, i z taką właśnie sytuacją mamy tu do czynienia.
Atak zwykle rozpoczyna się od wysłania do ofiary e-maila zatytułowanego „Military Financing Program”, z którego treści wynika, iż załączona jest do niego „ściśle tajna” wiadomość od przedstawiciela amerykańskiego rządu. Przy próbie jej otwarcia pojawia się prośba o aktywowaniu obsługi makr, co jest dość powszechnym działaniem cyberprzestępców. Jeśli użytkownik ją spełni, uruchomione zostaną dwa pliki – program AutoHotkeyU32.exe oraz zmodyfikowana wersja TeamViewera. Ich zadania się uzupełniają – pierwszy po aktywacji informuje swojego operatora o udanym zainfekowaniu systemu poprzez wysłanie odpowiedniego komunikatu na predefiniowany serwer, zaś drugi pozwala na uzyskanie zdalnego dostępu do systemu.
Używając złośliwej wersji TeamViewera, przestępcy mogą m.in. monitorować aktywności właściciela komputera, wykradać poufne dane (np. dokumenty firmowe czy hasła dostępu), a nawet uzyskiwać dostęp do kolejnych zasobów użytkownika. Zastosowane w tym przypadku modyfikacje aplikacji TeamViewer polegają m.in. na automatycznym ukrywaniu jej interfejsu i wszelkich śladów aktywności w systemie po to, by użytkownik jak najdłużej nie zorientował się, że ktoś obcy ma dostęp do jego maszyny.
Z analiz przeprowadzonych przez specjalistów firmy Check Point wynika, że większość przeprowadzonych do tej pory ataków wymierzona była w firmy z Europy, a także z kilku nieco bardziej egzotycznych krajów, takich jak np. Nepal, Kenia, Liban czy Bermudy. Wydaje się, że podstawowym celem przestępców jest pozyskanie informacji niezbędnych do wykradania pieniędzy (czyli np. loginów i haseł do e-banków oraz numerów kart kredytowych). Świadczy o tym np. fakt, iż najczęściej atakowane są firmy, a ataki na instytucje były zwykle wymierzone w działy odpowiedzialne za obsługę finansową.
Tożsamość „napastników” na razie nie jest znana, jednak zdaniem specjalistów z Check Point wiele wskazuje na to, że mogą to być Rosjanie – świadczą o tym znalezione w kodzie programu wzmianki o użytkowniku pewnego rosyjskiego forum hakerskiego. Nie wiadomo jednak, czy ów użytkownik mógł być zaangażowany tylko w tworzenie narzędzi wykorzystywanych w nowej serii ataków, czy może jest on bezpośrednio odpowiedzialny również za przeprowadzenie całej operacji.
