Σύμφωνα με την εταιρεία ασφαλείας Heimdal, μια νέα εκστρατεία spam εμφανίστηκε τη διάρκεια του Σαββατοκύριακου, που φέρει το κακόβουλο λογισμικό TeamSpy. Το συγκεκριμένο malware οποία μπορεί να δώσει στους hackers πλήρη πρόσβαση σε έναν υπολογιστή μέσω του Teamviewer.
To TeamSpy δεν είναι νέου είδους malware. Στην πραγματικότητα υπάρχει από το 2013, και τότε είχε αποκτήσει πρόσβαση σε αμέτρητους υπολογιστές.
Αυτή τη φορά οι επιτιθέμενοι χρησιμοποιούν τεχνικές social engineering και εκμεταλλευόμενοι την απροσεξία των χρηστών τους ξεγελούν για να εγκαταστήσουν κακόβουλο λογισμικό TeamSpy.
Πως λειτουργεί:
Το κακόβουλο λογισμικό έρχεται σαν αρχείο .zip μέσα σε ένα email από μια πλαστή διεύθυνση. Το zip περιέχει ένα αρχείο .exe που αν το τρέξετε θα μολύνει με το TeamSpy τον υπολογιστή σας με ένα κακόβουλο αρχείο DLL. Τα μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν το malware σύμφωνα με την εταιρεία που τα ανακάλυψε είχαν σαν θέμα “eFax message from “1408581 **.”
Το malware θα εγκαταστήσει μια νόμιμη έκδοση του TeamViewer στους υπολογιστές των θυμάτων του και στη συνέχεια να αλλάξει τη συμπεριφορά του hacked DLL για να παραμένει κρυμμένο.
“Το TeamSpy malware περιλαμβάνει διάφορα στοιχεία από τη νόμιμη εφαρμογή TeamViewer. Ένα keylogger και TeamViewer VPN είναι δύο από αυτά τα στοιχεία,” αναφέρουν οι ερευνητές της Heimdal.
Όλα τα logs αντιγράφονται σε ένα αρχείο. Σε αυτά συμπεριλαμβάνονται όλα τα διαθέσιμα ονόματα χρηστών και κωδικοί πρόσβασης. Το αρχείο αμέσως μετά στέλνεται σε ένα C&C server.
Η συγκεκριμένη επίθεση μπορεί να παρακάμψει τον έλεγχο ταυτότητας δύο παραγόντων. Προς το παρόν η αναλογία ανίχνευσης του malware είναι πολύ χαμηλή (15/58), κάτι το οποίο σημαίνει ότι μόνο 15 λογισμικά προστασίας από ιούς είναι σε θέση να το εντοπίσουν.
Αυτό μπορεί να εξηγηθεί γιατί είναι η αρχή της επίθεσης. Έτσι καλό θα ήταν να προσέχετε τα μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνετε και μην κατεβάζετε αρχεία που δεν φαίνονται αξιόπιστα.
