TerraTV

Por GoldSparrow em Malware

O TerraTV é uma das ferramentas recém-descobertas que os autores de malware adicionaram recentemente ao que é conhecido como o esquema de Malware-as-a-Service (MaaS) Golden Chickens (GC). Essa ferramenta ameaçadora pode ser descrita como um DLL personalizad que os cibercriminosos empregam para sequestrar aplicativos legítimos do TeamViewer.

Os principais agentes de ameaças preferem usar o provedor GS MaaS para os seus ataques personalizados e outras atividades fraudulentas, pois as ferramentas oferecidas são altamente flexíveis e resilientes. Foram analisadas quatro amostras do TerraTV até o momento, todas assinadas com certificado legítimo emitido pela Comodo/Sectigo para empresas falsas.

O TerraTV foi identificada em 2018, enquanto pesquisadores analisavam certos ataques cibernéticos contra comerciantes de e-commerce. O componente TeamViewer corrompido descoberto combinava com muitos dos recursos já conhecidos da infraestrutura MaaS e apareceu em várias variantes diferentes.

O TerraTV é instalado na máquina da vítima através de um TerraLoader, que descompacta um cliente TeamViewer legítimo. Depois de executado, o cliente TeamViewer usa a técnica "DLL Search Order Hijacking" para carregar o DLL TerraTV ameaçador. Então, o malware sequestra chamadas API específicas para se esconder, enquanto os usuários não percebem que estão sendo hackeados. Como resultado, o TerraTV rouba credenciais de acesso, as envia para um servidor C2 codificado e os hackers ganham acesso remoto ao computador comprometido por meio de uma conexão TeamViewer legítima.

Tendendo

Mais visto

Carregando...