Notícias de dispositivos móveis, gadgets, aplicativos Android

Cuidado com o instalador armado do TeamViewer que fornece njRAT

Atores de ameaças que dependem do software legítimo e conhecido TeamViewer para exploração têm sido um cenário muito comum.

Houve vários casos em que os agentes de ameaças usaram software conhecido para entregar malware às vítimas.

Da mesma forma, um relat√≥rio recente da Laborat√≥rios Cyble de Pesquisa e Intelig√™ncia afirmou que o software de suporte de desktop remoto mais popularmente usado, ‚ÄúTeamViewer‚ÄĚfoi explorado por agentes de amea√ßas para entregar malware njRAT.

Outros softwares que entregavam malware njRAT incluem Wireshark, Process Hacker, etc.,

njRAT é um trojan de acesso remoto que pode realizar keylogging, roubo de senhas, exfiltração de dados, acesso a webcams e microfones, download de arquivos adicionais e muitos outros.

Foi descoberto pela primeira vez em 2012 e atacava organiza√ß√Ķes em pa√≠ses do Oriente M√©dio.

Instalador TeamViewer armado

O nível inicial de comprometimento do njRAT envolve métodos tradicionais, como campanhas de phishing, software crackeado em sites de compartilhamento de arquivos e downloads drive-by. Além disso, o malware agora está sendo distribuído por meio de aplicativos trojanizados.

Depois que o malware é executado, ele coloca dois arquivos na pasta C:\Windows pasta na qual, um deles é o malware njRAT.

O instalador ent√£o aciona o malware ‚ÄúTeamViewer Iniciando.exe‚ÄĚE eventualmente lan√ßa o leg√≠timo‚Äúteamviewer.exe” aplicativo.

Durante a instala√ß√£o do TeamViewer, o njRAT inicia simultaneamente a instala√ß√£o copiando-se para a pasta \AppData\Local\Temp com o nome ‚Äúsystem.exe‚ÄĚ.

Em seguida, ele executa o arquivo recém-descartado e o njRAT cria um mutex.

Pós-exploração e persistência

njRAT modifica a vari√°vel de ambiente ‚ÄúSEE_MASK_NOZONECHECKS‚ÄĚ em Windowsque evita que avisos de seguran√ßa ou caixas de di√°logo sejam apresentados ao usu√°rio, operando assim sem qualquer impedimento.

Al√©m disso, o malware tamb√©m altera o regulamento do Firewall para permitir comunica√ß√Ķes com o servidor C2 (Comando e Controle).

N√≥s recomendamos:  15 exemplos de frases de chamariz que convertem (e como replic√°-los)

O malware cria duas entradas de execução automática no registro do sistema para manter a persistência no sistema.

O malware ent√£o coleta informa√ß√Ķes sobre as teclas digitadas, Windows Vers√£o do sistema operacional, service pack, informa√ß√Ķes da webcam, data atual, nome de usu√°rio, arquitetura do sistema e chaves de registro espec√≠ficas.

Ele armazena todas essas informa√ß√Ķes na pasta ‚Äú%appdata%/temp‚ÄĚ sob o nome de arquivo ‚ÄúSistema.exe.tmp‚ÄĚ.

Indicadores de compromisso

Indicadores Descrição
224ae485b6e4c1f925fff5d9de1684415670f133f3f8faa5f23914c78148fc31 Teamviewer Trojanizado
9b9539fec7d0227672717e126a9b46cda3315895
11aacb03c7e370d2b78b99efe9a131eb
9bcb093f911234d702a80a238cea14121c17f0b27d51bb023768e84c27f1262a system.exe/TeamViewer Starting.exe
b2f847dce91be5f5ea884d068f5d5a6d9140665c
8ccbb51dbee1d8866924610adb262990
hxxp://kkk[.]sem ip[.]negócios C&C

Table of Contents