TeamSpy снова в деле

Давно позабытый зловред TeamSpy, предназначенный для кражи паролей, снова замечен на радарах специалистов по ИБ.

Выше упомянутый зловред, после четырех летнего затишья, вновь был замечен в спам рассылках. TeamSpy впервые был обнаружен в 2013 году исследователями из CrySyS Lab, атака этого вредоноса продолжалась без малого 10 лет и была направлена против правительственных, исследовательских и промышленных организаций.

На этот раз зловред обнаружили датские исследователи из Heimdal Security, по их словам, это вредоносное ПО распространялось через спам рассылку. В письме было вредоносное вложение маскировавшееся под факсимильное сообщение. Если пользователь инициировал распаковку ZIP-архива,  запускался исполняемый фаил с вредоносной dll-библиотекой. Благодаря перехвату DLL-библиотеки зловред записывал логины и пароли, которые пользователь вводил на устройстве, в текстовый фаил с именем «Log%s#%.3u.txt» и отправлял его на командный сервер преступников.

Как и в 2013 году зловред включал в себя элементы легитимного ПО для администрирования TeamViewer, это сочетание позволяло скрывать вредоносные действия зловреда от систем безопасности. Преступники инициировали сессию TeamViewer могли получать доступ к зашифрованному контенту и с легкостью обходить двухфакторную аутентификацию.

В самой TeamViewer  заявили, что проверяют информацию об использовании их программы киберпреступниками, а так же заявили, что не считают, что в их программе есть уязвимость. По мнению представителя TeamViewer  использование программы, происходит после заражения. Вредоносное ПО сначала должно попасть на ПК и только потом оно взаимодействует с TeamViewer . А это значит, что пользователи должны побеспокоится о безопасности своих устройств, а так же запрещать совместную загрузку программ, а их TeamViewer  скачивать только с официального сайта.