TeamViewer è un popolare tool di accesso remoto utilizzato principalmente nel settore business per varie attività legittime. Sfortunatamente viene sfruttato anche dai cybercriminali per accedere al computer delle vittime e rubare dati personali o installare malware di ogni tipo, come il ransomware LockBit 3.0.

Usi illeciti di TeamViewer in aumento

I tool di accesso remoto sono usati spesso per le truffe. Ad esempio, l’utente accede ad un sito trappola e vede un avviso relativo ad un presunto problema di sicurezza. Per risolverlo è necessario contattare una falsa assistenza clienti di note aziende. Il cybercriminali che risponde chiede quindi di installare TeamViewer, AnyDesk e simili.

Nei casi esaminati dagli esperti di Huntress, TeamViewer è stato sfruttato per installare un ransomware. Analizzando il log delle connessioni in entrata è stato individuato il file PP.bat che esegue il payload, ovvero LB3_Rundll32_pass.dll. Questa DLL è parte del builder LockBit Black usato per creare la versione 3.0 di LockBit.

Fortunatamente, il tentativo dei cybercriminali è stato rilevato e bloccato dalla soluzione antivirus presente sui computer esaminati, ma potrebbe avere successo con altri attacchi. Il codice del builder è stato pubblicato online nel 2022. Dato che il contenuto del file di testo usato per spiegare come deve avvenire il pagamento è differente, l’attacco non è stato effettuato dall’omonimo gruppo russo.

Un portavoce di TeamViewer ha dichiarato che molti accessi non autorizzati sono avvenuti a causa delle errate impostazioni di sicurezza. Gli utenti devono sempre usare l’ultima versione, password robuste, allowlist e autenticazione in due fattori, come suggerito nella pagina dedicata.