Специалисты компании Heimdal предупредили о новой спам-кампании, распространяющей малварь TeamSpy. При этом сам по себе вредонос не нов: TeamSpy известен с 2013 года. Тогда хакерская группа, названная TeamSpy Crew, провела серию целевых атак, направленных против политических деятелей и правозащитников на территории СНГ и восточноевропейских стран, при этом для организации несанкционированного доступа использовалась как раз «зловредная» версия TeamViewer.
Исследователи пишут, что сам TeamViewer в полном порядке, его хакеры не компрометировали. Злоумышленники, как и раньше, полагаются на социальную инженерию, хитростью убеждая пользователей установить малварь. Так, жертве приходит письмо с поддельного email-адреса с предложением загрузить некий zip-архив. Архив якобы содержит факс-сообщение. Если пользователь соглашается, загружает и открывает архив, выполняется .exe-файл скрытый внутри. TeamSpy проникает на машину жертвы и использует технику DLL hijacking, то есть вынуждает легитимное ПО выполнить вредоносные действия. Так, исследователи пишут, что малварь содержит ряд легитимных компонентов TeamViewer, в частности, keylogger и TeamViewer VPN. После этого все учетные данные сохраняются в файл Log% s #%. 3u.txt, который периодически переправляется на управляющий сервер злоумышленников.
Исследователи отмечают, что такая атака позволяет обойти двухфакторную аутентификацию, и получить доступ к обычно зашифрованной информации, которую расшифровывает сам пользователь зараженной машины. Также специалисты Heimdal отмечают, что пейлоад TeamSpy пока имеет низкий рейтинг обнаружения на VirusTotal: 8/58 на момент написания отчета и 15/59 на момент написания данного текста.
