Campanha direcionada empregou documentos XLSM com macros, carregamento lateral de DLL e scripts AutoHotKey para controlar máquinas de autoridades financeiras e representantes diplomáticos.
| Componente | Cadeia FINTEAM baseada em documento XLSM malicioso, TeamViewer trojanizado, DLL TV.DLL e scripts AutoHotKey. |
| Vetor | E-mail direcionado com anexo disfarçado de documento secreto dos Estados Unidos, usando o assunto “Military Financing Program” e macros para iniciar a infecção. |
| Impacto | Controle remoto do computador infectado, envio de captura de tela, execução remota de payloads adicionais e injeção de funcionalidades por hooks em APIs do Windows. |
| Prioridade | Bloquear macros não confiáveis, revisar anexos XLSM recebidos por autoridades financeiras, procurar carregamento lateral de DLL no TeamViewer e investigar comunicação com painéis C2. |
| Artefatos | A campanha citou amostras XLSM e documentos relacionados, incluindo o hash 67d70754c13f4ae3832a5d655ff8ec2c0fb3caa3e50ac9e61ffb1557ef35d6ee. |
| Infraestrutura | Amostras observadas usaram servidores C2 com painéis de login; várias instâncias recorreram à mesma empresa de hospedagem HostKey, com exceções em variante inicial. |
FINTEAM descreve uma operação direcionada contra autoridades ligadas ao setor financeiro governamental e representantes em embaixadas na Europa. A cadeia começa com engenharia social por e-mail e anexo XLSM, apresentado como um documento altamente sensível associado a programa de financiamento militar. O objetivo técnico não é explorar uma vulnerabilidade específica do TeamViewer legítimo, mas abusar da confiança no software de acesso remoto por meio de uma versão trojanizada e de uma DLL maliciosa carregada no processo. A partir desse ponto, o operador obtém recursos de controle remoto, coleta visual inicial e capacidade de acionar código adicional na máquina comprometida.
A campanha se destaca por combinar iscas adaptadas ao público-alvo, artefatos em russo deixados em documentos e evolução de ferramentas ao longo do tempo. Em uma fase mais recente, o anexo XLSM contém células com conteúdo codificado em hexadecimal que extraem dois arquivos quando a macro é habilitada. Em campanhas anteriores, o mesmo conjunto de atividade também foi observado com arquivos autoextraíveis que exibiam imagens de engodo, incluindo material relacionado a autoridades do Cazaquistão e nomes de arquivo em russo. Essa variação sugere uma operação conduzida com seleção manual de alvos, mudanças no primeiro estágio de entrega e reaproveitamento consistente do núcleo de controle remoto baseado em TeamViewer modificado.
O primeiro estágio depende da interação do usuário com um documento XLSM recebido por e-mail. A isca visual usa identidade institucional e marcação de sigilo para aumentar a credibilidade, enquanto artefatos cirílicos remanescentes no arquivo indicam falhas operacionais na preparação do documento. Quando as macros são habilitadas, o documento extrai arquivos embutidos em células codificadas, o que reduz a dependência de download externo no início da cadeia e dificulta a análise superficial baseada apenas no anexo. A presença de instruções em russo em outros documentos relacionados mostra que parte do conjunto foi adaptada para vítimas falantes desse idioma, mas o recorte mais recente mirou autoridades financeiras e diplomáticas em múltiplas localidades.
Após a extração, a DLL TV.DLL é carregada por carregamento lateral, técnica em que um binário legítimo acaba inicializando uma biblioteca maliciosa por resolução de dependência ou caminho previsível. Essa DLL adiciona funções ao TeamViewer por meio de hooks em APIs do Windows, incluindo funções relacionadas à movimentação de arquivos, mutexes e alteração de texto de janelas. O material analisado associa o hook de MoveFileW a capacidades de execução e injeção, enquanto técnicas similares envolvendo CreateMutexA e SetWindowTextW aparecem em discussões públicas atribuídas ao avatar EvaPiks. A campanha também emprega AutoHotKey para tarefas auxiliares, incluindo envio inicial de captura de tela do computador comprometido para infraestrutura controlada pelo operador. A DLL maliciosa ainda permite que payloads adicionais sejam enviados e executados remotamente; como esses payloads não foram recuperados no contexto analisado, o conjunto total de capacidades pós-comprometimento permanece limitado ao que foi observado na DLL e nos scripts.
A superfície mais exposta envolve estáções de trabalho de usuários com acesso a comunicações sensíveis, especialmente autoridades de órgãos de receita, finanças públicas e representações diplomáticas. A campanha depende de anexos de escritório com macros e de execução local no endpoint, portanto ambientes que ainda permitem macros de documentos recebidos por e-mail, diretórios graváveis próximos a aplicações legítimas e execução de ferramentas de automação têm risco maior. O TeamViewer aparece como veículo de confiança e execução, não como produto necessariamente vulnerável por si só; a exposição decorre da introdução de uma DLL maliciosa e de binários trojanizados na cadeia.
O histórico da operação mostra mudança no vetor inicial. Em 2018, foram observados arquivos autoextraíveis que exibiam imagens de engodo, inclusive um executável com nome em russo simulando documento administrativo. Em outro caso, uma planilha Excel trazia instruções fluentes em russo para habilitar conteúdo ativo. Essas escolhas indicam que a superfície não se limita a um único idioma ou formato de arquivo, mas se concentra em usuários propensos a abrir documentos administrativos, financeiros, diplomáticos ou políticos. A infraestrutura também apresentou diretórios de upload de capturas de tela que ficaram acessíveis por navegação direta durante parte da operação, antes de os arquivos serem removidos periodicamente e a listagem aberta ser desativada.
- Estáções de trabalho de autoridades financeiras governamentais e representantes diplomáticos que recebem anexos externos sensíveis.
- Ambientes Windows onde macros de documentos Office podem ser habilitadas por usuários e onde bibliotecas locais podem ser carregadas por aplicações legítimas.
- Sistemas com TeamViewer ou cópias empacotadas do aplicativo em caminhos incomuns, acompanhados da DLL
TV.DLLfora do padrão esperado. - Caixas de e-mail que receberam mensagens com tema “Military Financing Program” ou documentos administrativos em russo usados como isca.
A investigação defensiva deve começar pelo endpoint e pelo correio eletrônico. Em e-mail, procure anexos XLSM associados a temas de financiamento militar, documentos com marcações de sigilo e planilhas que solicitem habilitação de macros. Em endpoint, o foco deve ser a sequência de criação de arquivos a partir de processos Office, seguida por execução ou carregamento de binários relacionados ao TeamViewer em locais não usuais. A criação de arquivos extraídos de células codificadas, a presença de scripts AutoHotKey e a inicialização de DLL com nome TV.DLL próxima ao executável de acesso remoto são sinais mais fortes do que a simples existência do TeamViewer, que pode ser legítimo em muitos ambientes.
Na telemetria de processo, eventos de carregamento de biblioteca devem ser correlacionados com árvores iniciadas por Excel ou por arquivos autoextraíveis. Hooks de API nem sempre aparecem diretamente em logs comuns, mas podem ser inferidos por comportamento anômalo do processo, criação de mutexes inesperados, manipulação de janelas, execução de payloads filhos e comunicação com painéis externos. Em rede, a defesa deve procurar conexões para infraestrutura C2 associada a painéis de login, uploads de imagens e hospedagem recorrente. Indicadores de domínio e URL devem ser tratados com defang quando compartilhados internamente, e listas extensas de IoCs não substituem a análise comportamental da cadeia.
- Processos Office criando arquivos executáveis, DLLs ou scripts logo após abertura de planilhas XLSM recebidas por e-mail.
- Carregamento de
TV.DLLpor executáveis relacionados ao TeamViewer em diretórios temporários, de usuário ou incompatíveis com a instalação corporativa. - Execução de AutoHotKey em máquinas de usuários que não utilizam automação aprovada, especialmente após abertura de documento financeiro ou diplomático.
- Uploads de capturas de tela ou imagens para servidores externos, seguidos por comunicação recorrente com caminhos de painel C2.
- Referências internas a
newpanel_gate/gate.phpou infraestrutura hospedada em provedores citados na campanha, sempre validadas contra proxy, DNS e EDR antes de resposta operacional.
A resposta deve priorizar contenção de endpoints com cadeia compatível, preservação de artefatos e bloqueio do vetor de e-mail. Sistemas suspeitos precisam ser isolados da rede corporativa para impedir controle remoto adicional e envio de payloads. Em seguida, a equipe deve coletar imagem de memória quando viável, eventos de processo, cópias dos anexos, arquivos extraídos, DLLs carregadas e histórico de rede. Como a DLL permite execução remota de payloads adicionais, a ausência de binário secundário conhecido não encerra a investigação; é necessário verificar persistência, credenciais em cache, sessões remotas e alterações em diretórios de inicialização.
Na prevenção, a medida mais efetiva é restringir macros provenientes da Internet e de anexos externos, aplicar análise dinâmica de documentos antes da entrega ao usuário e controlar a execução de ferramentas de acesso remoto. O TeamViewer legítimo deve ser permitido apenas por política explícita, com caminho, assinatura e versão verificados. Qualquer cópia portátil, empacotada ou iniciada a partir de diretórios de usuário deve gerar alerta em ambientes sensíveis. A defesa também deve revisar regras de EDR para carregamento lateral de DLL, correlacionar Office com criação de binários e bloquear scripts AutoHotKey não autorizados em estáções administrativas e diplomáticas.
- Quarentenar endpoints com execução de XLSM suspeito, TeamViewer trojanizado ou
TV.DLLcarregada fora do caminho esperado. - Bloquear macros em documentos recebidos por e-mail externo e exigir fluxo controlado para exceções de negócio.
- Inventariar TeamViewer corporativo, validar assinatura, diretório de instalação e integridade de DLLs associadas.
- Revisar proxy, DNS e EDR para uploads de captura de tela e comunicação com painéis C2 relacionados à campanha.
- Rotacionar credenciais usadas em máquinas comprometidas ou administradas por usuários afetados, com atenção a tokens de sessão e acesso remoto.
- Atualizar detecções para cadeias Office para arquivo extraído, carregamento lateral de DLL, AutoHotKey inesperado e execução remota por ferramenta de suporte.
0 Comentários