TeamViewer è un popolare tool di accesso remoto utilizzato principalmente nel settore business per varie attività legittime. Sfortunatamente viene sfruttato anche dai cybercriminali per accedere al computer delle vittime e rubare dati personali o installare malware di ogni tipo, come il ransomware LockBit 3.0.
Usi illeciti di TeamViewer in aumento
I tool di accesso remoto sono usati spesso per le truffe. Ad esempio, l’utente accede ad un sito trappola e vede un avviso relativo ad un presunto problema di sicurezza. Per risolverlo è necessario contattare una falsa assistenza clienti di note aziende. Il cybercriminali che risponde chiede quindi di installare TeamViewer, AnyDesk e simili.
Nei casi esaminati dagli esperti di Huntress, TeamViewer è stato sfruttato per installare un ransomware. Analizzando il log delle connessioni in entrata è stato individuato il file PP.bat che esegue il payload, ovvero LB3_Rundll32_pass.dll. Questa DLL è parte del builder LockBit Black usato per creare la versione 3.0 di LockBit.
Fortunatamente, il tentativo dei cybercriminali è stato rilevato e bloccato dalla soluzione antivirus presente sui computer esaminati, ma potrebbe avere successo con altri attacchi. Il codice del builder è stato pubblicato online nel 2022. Dato che il contenuto del file di testo usato per spiegare come deve avvenire il pagamento è differente, l’attacco non è stato effettuato dall’omonimo gruppo russo.
Un portavoce di TeamViewer ha dichiarato che molti accessi non autorizzati sono avvenuti a causa delle errate impostazioni di sicurezza. Gli utenti devono sempre usare l’ultima versione, password robuste, allowlist e autenticazione in due fattori, come suggerito nella pagina dedicata.
L’offerta per te oggi è…
Il tuo Wi-fi è lento? Non giochi mai a 60 FPS? Paghi ogni mese un prezzo diverso per la tua rete internet?
Scopri Virgin Fibra! La Fibra più veloce, senza telefono fisso, oggi è a un prezzo SPECIALE (e bloccato!)Scoprila qui!
Ti potrebbe interessare
21 gen 2024