回归最本质的信息安全

TeamSpy又回来了,TeamViewer变成了它的攻击载体

2017年2月22日发布

7,961
2
0

导语:上周末,Heimdal Security的安全专家了一个新的垃圾邮件恶意活动,它们正在利用TeamSpy恶意软件窃听受害者信息。

timg.jpg

上周末,Heimdal Security的安全专家了一个新的垃圾邮件恶意活动,它们正在利用TeamSpy恶意软件窃听受害者信息。

自从2013年最后一次出现之后,TeamSpy就再也没有出现过了。4年前,CrySyS Lab的安全研究员发现了一个存在数十年之久的网络间谍组织,它的目标主要是东欧国家的高级别政治组织和工业组织,攻击手段是利用社工的方式诱骗受害者安装TeamSpy恶意软件。

TeamSpy沉寂四年之后再次出现了

而沉寂了几年之后,TeamSpy再次出现了。它利用流行的远程控制软件TeamViewer和精心构造的恶意软件从受害者手中窃取机密文档和加密密钥。

攻击链条始于一个含有压缩文件的垃圾邮件:Fax_02755665224.zip -> Fax_02755665224.EXE。当受害者打开压缩文件时,恶意程序便会执行另外一个exe文件,从而在受害者设备上安装TeamSpy。恶意DLL如下:

[% APPDATA%] \ SysplanNT \ MSIMG32.dll. That library then recorded via C: \ Windows \ system32 \ regsvr32. exe “/ s” [% APPDATA%] \ SysplanNT \ MSIMG32.dll

根据研究人员的调查显示,TeamSpy包含很多组件TeamViewer VPN、键盘记录器。另外,它的隐藏性也非常好,受害者很难发现自己已经被攻击了,就连杀毒软件也很难检测到TeamSpy变种。

1487732997949816.jpg

至于TeamSpy是怎样感染的用户,受害者肯定是看不见的,但是它确实已经感染了受害者设备。这种攻击还能绕过双因素认证,所以攻击者可以在受害者设备上登录受害者账号,从而访问受害者的加密数据。

防御措施

关于这种攻击的防御措施,依然还是不要打开陌生人邮件里的附件和链接,即使是自己熟悉人的邮件也要保持警惕。如果想继续打开其中的附件,建议在虚拟机环境下打开。

本文参考来源于securityaffairs,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/3461.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

張奕源Nick

張奕源Nick

嘶吼编辑

发私信

发表评论

    labuboco
    labuboco 2017-02-23 11:15

    学习中

    蔡宁宁
    蔡宁宁 2017-02-22 15:20

    TeamSpy?咋那么像间谍软件呢?