恶意软件TeamSpy回来,和TeamViewer有什么关系

Heimdal Security的安全专家发现了一个新的垃圾邮件活动在周末出现。 骗子使用臭名昭着的TeamSpy恶意软件来获得对目标计算机的完全访问权限。

很长一段时间我们没有听到任何关于TeamSpy恶意软件消息，当时成为2013年的头条新闻。当时匈牙利CrySyS实验室的安全研究人员发现了一个长达十年的网络间谍活动，主要是针对东欧的高级政治和工业实体。

攻击者，被安全研究人员TeamSpy称为，使用流行的远程访问程序TeamViewer和特制恶意软件从受害者窃取秘密文档和加密密钥。

回到现在，最后一波攻击利用社会工程攻击来诱骗受害者安装TeamSpy恶意软件。

恶意软件作者使用DLL劫持通过合法软件执行未经授权的操作。

附件链以垃圾邮件电子邮件开头，使用.zip文件附件，例如：

Fax02755665224.zip -> Fax02755665224.EXE

当受害者打开zip存档，它执行附带的.exe文件，将TeamSpy恶意软件丢弃到受害者的计算机上，作为恶意DLL：

[% APPDATA%] \ SysplanNT \ MSIMG32.dll. That library then recorded via C: \ Windows \ system32 \ regsvr32. exe “/ s” [% APPDATA%] \ SysplanNT \ MSIMG32.dll

根据研究人员，TeamSpy恶意软件包括在其他合法的TeamViewer应用程序中的各种组件，其中两个是键盘记录器和TeamViewer VPN。

Heimdal安全发现的攻击对于无法检测到它们的受害者是非常阴险的。

“鉴于TeamSpy感染如何发生，很明显，攻击者启动的TeamViewer会话对于受害者是不可见的。

这可能导致对登录用户在他/她的计算机上运行的服务的多种形式的滥用。“Heimdal Security这样分析到。

“这种攻击还可以绕过双因素身份验证，还可以让网络犯罪分子访问受到攻击的计算机上的用户未加密的加密内容。

在我编写的时候，大多数的Antivirus软件都无法检测到TeamSpy恶意软件的这种变体，它在VirusTotal上的检测率为15/58。

像往常一样，让我建议避免打开您收到不需要的电子邮件，并且不打开来自未知发件人的电子邮件附件。

“我们强烈建议您仔细分析您收到的不需要的电子邮件，并且不要从未知发件人下载电子邮件附件。 恶意软件可以在网络上以多种形式伪装自己，所需的只是一次点击来触发感染。

作者：Pierluigi Paganini，由悬镜安全实验室独家翻译，如需转载，请标注http://www.xmirror.cn/

欢迎大家关注悬镜安全实验室公众号，最新安全动态，技术干货，悬镜使用攻略。在使用悬镜服务器卫士的过程中，如遇到任何问题，都可以加入我们的官方用户群【539903443】进行咨询，我们都会有专门的人员帮您解答。