Хакеры из TeamSpy используют TeamViewer в качестве шпионского ПО

image

Теги: фишинг, социальная инженерия, вредоносное ПО

Зафиксирована новая волна фишинговых атак с использованием вредоносного ПО TeamSpy.

Исследователи компании Heimdal Security обнаружили новую спам-кампанию по распространению уже подзабытого вредоносного ПО TeamSpy.

О вредоносе впервые стало известно в 2013 году, когда эксперты венгерской компании CrySyS Lab обнаружили продолжавшуюся 10 лет кампанию по кибершпионажу против политических и промышленных организаций в странах Восточной Европы. Хакерская группировка, названная исследователями TeamSpy, использовала популярную программу TeamViewer для получения удаленного доступа к системам и кастомизированное ПО для похищения конфиденциальных документов и ключей шифрования. Весь используемый хакерами инструментарий эксперты назвали TeamSpy.

В ходе обнаруженной на днях кампании злоумышленники распространяют вредоносное ПО с помощью социальной инженерии. Для получения доступа к системам применяется все тот же TeamViewer. Как подчеркивают исследователи, сам инструмент не был взломан и не представляет угрозу безопасности.

Злоумышленники используют технику взлома DLL (так называемый DLL hijacking), позволяющую им с помощью легитимного ПО выполнять вредоносные действия. В данном случае преступники получают полный контроль над компьютером жертвы и незаметно для нее похищают информацию.

Атака начинается с получения пользователем фишингового электронного письма с вредоносным вложением. Когда жертва открывает zip-архив, выполняется файл, загружающий на систему TeamSpy в виде вредоносной библиотеки. Атака позволяет обходить механизм двухфакторной аутентификации и получать доступ к зашифрованному контенту.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.