Важно помнить, что TeamSpy — не единственная категория вредоносных программ, которые может использовать TeamViewer. Здесь описывается только один из них. Однако принцип работы одинаков.
Разбор вируса, использующего программу удаленного контроля TeamViewer
Анализ вредоносного программного обеспечения TeamSpy. Это тайно переводит компьютер под полный удаленный контроль злоумышленника.
Программа удаленного управления TeamViewer очень полезна, когда требуется удаленная поддержка пользователей. К сожалению, он также может быть использован киберпреступниками, стоящими за вредоносной программой TeamSpy.
TeamSpy заражает компьютеры, обманом заставляя пользователей загрузить вредоносное вложение и запустить макрос. Далее вирус тайно устанавливает TeamViewer. Это дает злоумышленнику полный контроль над зараженным компьютером. Недавно компания Heimdal Security вновь обнаружила кампанию по распространению этой вредоносной программы через спам. Мы также заметили рост активности и решили провести расследование.
Скрытые команды
После заражения большинство вредоносных программ связывается с сервером C&C. Этот сервер является центром управления, куда вредоносная программа отправляет команды, необходимые для ее выполнения. Сервер C&C также получает данные, собранные вирусом. При таком способе связи авторы вредоносных программ обычно используют проприетарный протокол, который легко обнаруживается и блокируется антивирусами. Чтобы затруднить обнаружение, некоторые авторы вредоносного ПО используют распространенные программы удаленного управления (например, TeamViewer) и используют функции VPN для лучшего прикрытия связи между вредоносным ПО и серверами контроля и управления.
TeamSpy распространяется через спам-письма, которые обманом заставляют пользователей открывать вредоносные вложения (файлы Excel, содержащие макросы). После открытия вложения пользователю будет предложено следующее
После активации макроса процесс заражения протекает полностью в фоновом режиме, так что жертва не подозревает ни о чем необычном. Взглянув внутрь вредоносного макроса, можно обнаружить несколько запутанные строки кода. Это затрудняет их анализ и обычно разбивает их на одну или несколько подкоманд, которые объединяются в конце. Наиболее важная информация обведена красным цветом и включает ссылку для загрузки элемента и пароль, который будет использоваться в дальнейшем.
Ссылка disk.karelia.pro указывает на легитимный российский файлообменный сайт. Загруженное вложение имеет вид файла .png, но на самом деле является исполняемым файлом .exe, который выполняет защищенную паролем установку InnoSetup.
Утилита Innounp может использоваться для восстановления списков файлов и их экспорта из программы установки InnoSetup, используемой вредоносной программой. Как показано в приведенном ниже списке, большинство файлов являются обычными двоичными файлами программы TeamViewer с цифровыми подписями. Двумя исключениями являются файлы msimg32.dll и tvr.cfg. TVR.CFG — это файл конфигурации TeamSpy, который будет описан позже. MSIMG32.DLL — это сама вредоносная программа, библиотека DLL, которая является частью операционной системы Windows. Однако в этом случае TeamSpy использует порядок поиска DLL в своих целях. В результате в процедуру загружается поддельный файл MSIMG32.DLL из текущего каталога вместо настоящего файла MSIMG32.DLL из каталога Windows/System32. Сама вредоносная программа представляет собой поддельную библиотеку MSIMG32.DLL.
Маскировка программы TeamSpy
Если TeamViewer нормально установлен, появится окно GUI с идентификационным номером и паролем, необходимыми для удаленного подключения к компьютеру.
Если компьютер нормально заражен TeamSpy, ничего не отображается. Как вы помните, жертва не знает об установке TeamViewer, поскольку все работает в фоновом режиме. Это достигается путем обработки ряда функций API и изменения их поведения. TeamSpy регистрирует около 50 различных элементов API:.
CreateMutexw, CreatedirectoryW, CreateFilew, createprocessw, getVolumeInformationW, getDrivetypewwwWW, getCommandlinew, getCommandlinea, и getStartUpInfoa, movefileexw, createmutexaa
SetWindowTextW, TrackPopupMenuEx, DrawTextExW, InvalidateRect, InvalidateRgn, RedrawWindow, SetWindowRgn, UpdateWindow, SetFocus, SetActiveWindow, SetForegroundWindow, MoveWindow, DialogBoxParamW, LoadIconW, SetWindowLongW, FindWindowW, SystemParametersInfoW, RegisterClassExW, CreateWindowExW, CreateDialogParamW, SetWindowPos, ShowWindow, GetLayeredWindowAttributes, SetLayeredWindowAttributes, IsWindowVisible, GetWindowrest, MessageBoxa, MessageBoxw
RegCreateKeyW, RegCreateKeyExw, RegopenKeyExw, CreateProcessasuserw, CreateProcessWithLogonW, CreateProcessWithTokenw, shell_notifyiconw, shelllexecutewwww.
Некоторые крючки предотвращают доступ приложения к определенным ресурсам (например, если команда RegCreatekey или Regopenkey пытается получить доступ к ключу реестра программного обеспечения ◊ TeamViewer, отображается код ошибки ERROR_BADKEY. (код ошибки ERROR_BADKEY).
Пиратство GetCommandline заставляет TeamViewer думать, что он начал работу с заранее заданным паролем (вместо создания случайного пароля пользователи TeamViewer обычно могут задать произвольное значение, добавив параметры командной строки (вместо создания случайного пароля пользователи TeamViewer обычно могут задать произвольное значение, добавив параметры командной строки).
Хук SetWindowLayeredattributes устанавливает прозрачность окна TeamViewer на 0 (команда Push 0), что, согласно документации MSDN, означает полную прозрачность.
Пиратское использование функциональности CreatedialOgparam предотвращает создание нежелательных диалоговых окон во вредоносных программах. Их можно увидеть в файле teamviewer_resource_en.dll. Они прикреплены к номерам, показанным на рисунке ниже (например, 10075).
Для ShowWindow определены параметры NCMDSHOW 4D2H и 10E1H. Если эти другие значения присутствуют, ничего не происходит.
Пожалуй, наибольший интерес представляет запись API createwindowex. После ряда имен классов определяются окна и другие элементы управления окнами, связанные с окнами беседы TeamViewer. С помощью таких инструментов, как Winspy ++, отображаются все окна, связанные с определенным процессом (даже если они скрыты). На рисунке ниже вы можете видеть окно ControlWin с различными мини-приложениями TVWidget. Один из них относится к разговорам и имеет два текстовых редактора ATL. (один для истории сообщений беседы и один для новых сообщений беседы), окно с растущим списком бесед и кнопка отправки. ‘Сообщение 01’ — это полученный разговор. ‘Сообщение 02’ — это сообщение, отправленное после нажатия кнопки ‘Отправить’.
Модули для удаленного управления компьютером могут быть загружены с официального сайта разработчика, а также с форумов, посвященных полезному программному обеспечению, или специализированных сайтов.
Как используют программу TeamViewer мошенники
Мошенники используют разделы баз данных, «слитых» банками Сбербанк, Альфа-Банк, ВТБ, Тинькофф и другими, чтобы звонить клиентам банков и применять методы «социальной инженерии», чтобы использовать доверие граждан и низкую вычислительную экономическую азбуку. Мошенники используют различные уловки, чтобы запугать потенциальных жертв и установить на их смартфоны чудодейственные программы. Они могут называть его «быстрой поддержкой», «поддержкой Сбербанка», «приложением безопасности банка», простой поддержкой, антивирусом и т.д. В большинстве случаев таким программным обеспечением является TeamViewer QuickSupport. Это очень популярное приложение, которое можно легко найти в Google Play.
Аналогичным образом мошенники просят клиентов Альфа-банка установить программу «QuickSupport Alfa Bank». Тот же QuickSupport:.
После установки TeamViewer жертва предоставляет мошеннику TeamViewer ID, соглашается на подключение, и мошенник получает полный доступ к смартфону через удаленный канал через интернет. Дальше они могут делать все, что захотят — получить онлайн-кредит на личный банковский счет жертвы и снять все деньги, то есть и клиентские, и кредитные. После этого клиент остается без денег и долга перед банком.
В этом случае невозможно доказать, что счет скомпрометирован, поскольку ваш мобильный телефон или компьютер взаимодействует с банком напрямую. В случае с банками не имеет значения, двигали ли вы или мошенник мышью или нажимали клавишу на клавиатуре.
В Google Play есть много соответствующих комментариев от пользователей.
Примеры кражи денег на сотни тысяч рублей
Банки разные, Альфа, Хоум Кредит, сбербанк.
23.11.2020 — 142 000 руб. Я не давал им код. Проект плана оказался простым. Вы должны загрузить программу для отказа в выдаче кредитов, якобы оформленных на мое имя. У меня не было сомнений в том, что он не может быть сотрудником банка». Альфа-банк.
26.10.2020- Потеря 300 000 рублей (минимум) — мне позвонили на мобильный телефон и порекомендовали «Альфа-Банк — Служба безопасности». Эти люди сообщили мне, что моя зарплатная карта была скомпрометирована и что я должен срочно установить программу безопасности на свой мобильный телефон. … Как только программное обеспечение было установлено, меня соединили с оператором, который воспроизвел код для регистрации программы безопасности. Через три минуты я позвонил в свой банк, и мне сообщили, что кредит был взят на мое имя. Альфа банк заблокировал карту и смог снять только 300 мм, банк готов снять 98 мм страховки, оставшиеся 200 мм — это мой случай и кредит нужно погашать.
27.10.2020 — Попытка взять кредит на имя жертвы не удалась. ‘Предполагается, что Альфа-банк позвонил, чтобы проверить изменение номера телефона. Он сказал, что на мое имя по этому номеру телефона пытались взять кредит, и оказалось, что у мошенника есть мои паспортные данные и нужно установить защиту. Мне предложили установить приложение Quick Support. Затем выяснилось, что приложение называется TeamViewer QuickSupport. Возвращен. Все это время я пытался выключить телефон, но он управлялся дистанционно и поэтому не отвечал».
19.10.2020 — Студент. Получил кредит в Альфа-банке на сумму 720000 рублей. Сотрудница «Альфа-банка», находящаяся в SO -Caled, полностью задекларировала свои личные данные. Они заявили, что увеличилось число попыток взломать онлайн-аккаунты AB, и что впоследствии они «помогли» создать «виртуальную защиту» по телефону.
03.11.2020 — Супруга в декретном отпуске, покупка кредитной карты на сумму 225 000 руб. Ее убедили установить TeamViewer, после чего она начала рассылать push-сообщения с кодами и сообщениями о покупках.
14.10.2020 — Мне позвонил мошенник и спросил, подавал ли я заявление на изменение номера телефона на моем лицевом счете. Убедившись, что моим средствам угрожает вирус, они удаленно подключились к моему телефону и «починили» его. Ситуация. После этого с моего счета были списаны деньги и вычтен предоставленный мне кредит. Кредитные деньги также были переведены в неизвестном направлении». — Жертва устанавливала программу TeamViewer и получала доступ к мошеннику.
Приемы мошенников
Главное, что сразу же пытается сделать мошенник, — это вывести клиента из привычного ритма и внезапно напугать его.
- Это вы делаете перевод со своего счета на сумму 5430 рублей из г.Зелепупинска Пупкину Василию Алибабаевичу в г.Хабаровск?
- Это вы заходите в ваш личный кабинет из г. Муходрищенска?
- Это вы оформляете кредит на 100000 рублей в вашем личном кабинете?
- Это вы меняете номер телефона? Нет? О, да у вас вирус в телефоне, мы вам поможем.
В первом случае мошеннику достаточно одного кода из текстового сообщения, чтобы «отменить перевод», и он может получить единовременный платеж. В противном случае клиента могут убедить немедленно остановить мошенника и установить специальную банковскую программу («Виртуальная безопасность», «Сбербанк Поддержка» и т.д.). Обычно это TeamViewer или иногда Anydesk.
Существуют также неофициальные свидетельства неудачных трюков. И были утечки банковских данных, хотя все указывает на то, что мошенники хорошо подготовились и не ограничиваются публичной информацией о возможных жертвах через SBP.
Механизм мошенничества прост. Граждане получают звонок от службы безопасности своего банка, информирующий их о подозрительной транзакции или техническом повреждении. Цифры обычно берутся из публичной базы данных или с сайта с бесплатной рекламой. Чтобы завлечь пользователей и вызвать страх и панику, они говорят
Что происходит потом?
Когда пользователь предоставляет злоумышленнику идентификационный номер для входа в TeamViewer, он получает полный доступ ко всей информации, хранящейся на его телефоне или компьютере. Запрос идентификационного номера TeamViewer обычно сопровождается заявлением о том, что это необходимо сделать для удаления вируса. Получив доступ к компьютеру пользователя, злоумышленник может использовать имя пользователя и пароль для доступа к личным банковским счетам, перевода денег с одного счета на другой или кражи SMS-сообщений от различных служб для подтверждения финансовых операций.
Не выполняйте подобные просьбы: сотрудники банка никогда не попросят вас об этом. Если пользователь установит приложение и предоставит мошеннику идентификатор TeamWiewer, он может попрощаться со своими деньгами. После того как пользователь отдает смартфон мошеннику, доказать, что кража произошла из-за несанкционированного доступа и хищения, банку невозможно.
Нет необходимости в заражении компьютера или смартфона вирусом или отклонении конфиденциальной информации. Если вы получите такой звонок, человек на другом конце линии представится сотрудником банка и попросит установить приложение для удаления вируса с вашего мобильного телефона. Вы можете сразу же закрыть звонок. Нет смысла продолжать эту дискуссию. Рекомендуется самому позвонить в банк и сообщить о случившемся.
Что делать, если установил TeamViewer?
Мошенники обычно звонят пользователю, выдавая себя за сотрудника банка. Они сообщают, что была предпринята попытка несанкционированного снятия средств со счета. Для решения проблемы клиенту необходимо установить программное обеспечение для удаленного доступа, а сотрудник выполняет все действия по проверке. Этого никогда не следует делать. Соглашаясь на такое предложение, пользователь разрешает мошеннику действовать от его имени.
Если вы уже установили программу, но не успели ею воспользоваться, следует немедленно удалить ее со смартфона. Это делается так же, как и для мобильных приложений. Чтобы убедиться, что программное обеспечение полностью удалено, рекомендуется сбросить смартфон до заводских настроек. Эксперты также рекомендуют немедленно закрыть телефон, если вам звонит «сотрудник» банка. Не имеет значения, с какого номера поступил звонок. Современные технологии позволяют злоумышленникам подделывать номера.
Источник изображения: twitter.com
Как быть, если сообщил ID мошенникам?
Когда вы устанавливаете TeamViewer, каждый пользователь получает идентификатор с атомным номером, который используется для удаленного управления. Передавайте его только тем людям, которым вы доверяете. Никогда не передавайте его сотрудникам банка или другим посторонним лицам! Обладая определенными навыками и знаниями, вы можете попытаться изменить свой идентификатор пользователя. Это обязательно нужно сделать, если вы активно используете TeamViewer по назначению.
Всегда обращайтесь в свой банк. Доказать факт мошенничества может быть очень сложно, поскольку пользователь добровольно передал свой смартфон для контроля злоумышленника. Единственный способ обнаружить эту систему мошенничества — записывать пользователей, устанавливающих различные приложения, и анализировать их поведение во время каждой сессии. Многие банковские организации уже имеют такую систему анализа. Если активность пользователя на личном счете покажется банку подозрительной, организация может приостановить операции по текущему счету. К сожалению, в настоящее время это единственный способ защитить деньги клиентов.
Преимущество этой услуги в том, что подключение осуществляется по идентификатору, а программное обеспечение работает «из коробки» в любой точке мира. Администраторы также могут установить и работать с бесплатным сервером Mini Internet-ID.
Как защитить деньги на счете от мошенников
В TeamViewer нет ничего плохого. Это действительно полезно и удобно. Главное — не раскрывать свою личность посторонним людям. Эта информация известна только тем людям, в которых вы уверены. Например, разработчики, с которыми у вас заключен контракт.
Устанавливайте службу только в том случае, если она этого требует. Не уговаривайте и не загружайте приложения по просьбе незнакомых людей (даже если они представляются сотрудниками банка). Угрожали ли вам сообщениями о подозрительных операциях по счету? Закройте телефон и позвоните себе на телефонную линию вашего финансового учреждения.
Если они списали деньги с вашего счета через TeamViewer, вряд ли вы сможете вернуть деньги. Смотрите на свой банк так, как будто вы сами нажали кнопку приложения. Ни при каких обстоятельствах вы не обязаны предоставлять пароль, код или секретную комбинацию. В этом случае нет необходимости искать украденные деньги.
