Menú

Malware abusa de TeamViewer

Malware para abusar de TeamViewer

TeamViewer es una conocida herramienta para hacer control remoto de un equipo con el permiso del receptor eso es conocido por la mayoria de cibernautas.

Existe una aplicación que abusa del team viewer llamada TeamSpy que lo que hace es infectar a la victima engañándola para descargar un adjunto malicioso y pide que habilites las macros.  Si has realizado todos los pasos anteriores, el malware instala en modo oculto un TeamViewer, dando a los cibercriminales el control total del ordenador infectado.

Este malware utiliza programas de uso común, salta a ahora la pregunta, ¿Cómo consigue que la victima no vea que se está instalando el TeamViewer? ¿Cómo sabe el pin que es necesario para realizar dicha conexión?

TeamSpy apareció por primera vez en 2013, cuando CrySyS laboratorio y Kaspersky Lab publican libros blancos sobre su funcionamiento. Con esto Heimdal Seguridad  informo el reciente resurgimiento del malware.

Ocultación de comandos

Los programas malicioso se comunican con un comando y control (C & C) servidor después de infectar. Un servidor C & C es el centro de control que envía comandos al programa malicioso.

Los servidores C & C son el lugar de retorno de datos del malware.

Los autores de malware ponen un protocolo personalizado que puede ser detectado y bloqueado por las soluciones antivirus.

Los autores de malware usan programas populares de control remoto, como TeamViewer, en vez de su red VPN para enmascarar mejor la comunicación entre sus programas maliciosos y servidores C & C y con esto no sean detectados tan facilmente por lo antivirus.

¿Cómo realiza la infección TeamSpy?

TeamSpy se propaga por correos no deseados diseñados para engañar. La gente abre un archivo adjunto. que es un Excel con macros.y aparece lo siguiente en la pantalla:

 

Cuando las macros están habilitadas por la persona, comienza el proceso de infección.

Se ejecuta en segundo plano y el usuario no se da por enterado.  En el macro malicioso se verían cadenas poco ofuscadas, que dividen en uno o más subseries, que luego se concatenan.

02-Capturee_xls2.png

El enlace, disk.karelia.pro, es un servicio ruso legítimo para subir y compartir archivos.

La descarga tiene una extension  PNG, que en realidad es un archivo EXE se trata de una disposición de Inno es un instalador protegido por la contraseña.

03-Capturf_installer.png

Con la ayuda de la utilidad  innounp enumerar o extraer los archivos del instalador resulta facil Inno Setup es utilizado por el malware.

Los archivos son binarios , firmados digitalmente por TeamViewer, con excepción de dos archivos – msimg32.dll y tvr.cfg .

Tvr.cfg es de configuración TeamSpy.

msimg32.dll es el malware y es una librería DLL parte del Windows.

Los abusos de TeamSpy residen en el orden de búsqueda de DLL , por que el falso msimg32.dll se encarga del proceso en lugar del original msimg32.dll del directorio de  Windows / System32.

El malware esta en una falsa biblioteca msimg32.dll.

04-Captureg_innounp.png

capa de invisibilidad de TeamSpy

TeamViewer, al instalar el original vez una ventana de interfaz gráfica de usuario con un ID y una contraseña, que la otra parte tiene que saber para conectarse a la pc.

05-Capture8_pwu_superpass.png

TeamSpy infecta un PC, y no se muestra nada porque todo se ejecuta en segundo plano, sin que se entere la victima que TeamViewer está instalado.

Esto se logro por  la conexión de muchas funciones API y alterar su comportamiento. TeamSpy engancha las siguientes API que son casi 50 diferentes:

kernel32.dll

CreateMutexW, CreateDirectoryW, CreateFileW, CreateProcessW, GetVolumeInformationW, GetDriveTypeW, GetCommandLineW, GetCommandLineA, GetStartupInfoA, MoveFileExW, CreateMutexA

user32.dll

SetWindowTextW, TrackPopupMenuEx, DrawTextExW, InvalidateRect, InvalidateRgn, RedrawWindow, SetWindowRgn, UpdateWindow, SetFocus, SetActiveWindow, SetForegroundWindow, MoveWindow, DialogBoxParamW, LoadIconW, SetWindowLongW, FindWindowW, SystemParametersInfoW, RegisterClassExW, CreateWindowExW, CreateDialogParamW, SetWindowPos, ShowWindow, GetLayeredWindowAttributes, SetLayeredWindowAttributes, IsWindowVisible, GetWindowRect, MessageBoxA, MessageBoxW

advapi32.dll

RegCreateKeyW, RegCreateKeyExW, RegOpenKeyExW, CreateProcessAsUserW, CreateProcessWithLogonW, CreateProcessWithTokenW, Shell_NotifyIconW, ShellExecuteW

iphlpapi.dll

GetAdaptersInfo

Algunos recursos específicos, por ejemplo, RegCreateKey o RegOpenKey bloquean los intento de acceso al Software \ TeamViewer clave de registro, el código de error: ERROR_BADKEY   devuelve.

06-hook_regcreatekeyexw.png

 

 

El archivo de configuración

TeamSpy se almacena su configuracion en tvr.cfg. Utiliza un algoritmo de cifrado simple, lee el archivo de entrada y utiliza la contraseña “TeamViewer”. El algoritmo ejecuta dos contadores, CNT1 (0..number de bytes en tvr.cfg ) y CNT2 (0..length de la contraseña).

Se necesita un byte de la contraseña, se suma el resultado de la multiplicación CNT1 * CNT2 . Esto se hace para cada caracter de la contraseña. Los resultados son XORed, y al final del bucle XOR con el byte del archivo de configuración.

Se repite todos los bytes en el archivo de configuración.

14-tvr_config.png

El archivo de configuración descifrado puede verse a continuación. Lo más importante  es la contraseña (máquina infectada tiene contraseña “SuperPass”) y server1, donde se exfiltraron el ID de la máquina infectada.

15-tvr_config_decrypted.png

 

 
Los ciberdelincuentes  encuentran la herramienta muy útil y lo utilizan para llevar a cabo actividades maliciosas.