TeamSpy又回来了，TeamViewer变成了它的攻击载体

上周末，Heimdal Security的安全专家了一个新的垃圾邮件恶意活动，它们正在利用TeamSpy恶意软件窃听受害者信息。

自从2013年最后一次出现之后，TeamSpy就再也没有出现过了。4年前，CrySyS Lab的安全研究员发现了一个存在数十年之久的网络间谍组织，它的目标主要是东欧国家的高级别政治组织和工业组织，攻击手段是利用社工的方式诱骗受害者安装TeamSpy恶意软件。

TeamSpy沉寂四年之后再次出现了

而沉寂了几年之后，TeamSpy再次出现了。它利用流行的远程控制软件TeamViewer和精心构造的恶意软件从受害者手中窃取机密文档和加密密钥。

攻击链条始于一个含有压缩文件的垃圾邮件：Fax_02755665224.zip -> Fax_02755665224.EXE。当受害者打开压缩文件时，恶意程序便会执行另外一个exe文件，从而在受害者设备上安装TeamSpy。恶意DLL如下：

[% APPDATA%] \ SysplanNT \ MSIMG32.dll. That library then recorded via C: \ Windows \ system32 \ regsvr32. exe “/ s” [% APPDATA%] \ SysplanNT \ MSIMG32.dll

根据研究人员的调查显示，TeamSpy包含很多组件TeamViewer VPN、键盘记录器。另外，它的隐藏性也非常好，受害者很难发现自己已经被攻击了，就连杀毒软件也很难检测到TeamSpy变种。

至于TeamSpy是怎样感染的用户，受害者肯定是看不见的，但是它确实已经感染了受害者设备。这种攻击还能绕过双因素认证，所以攻击者可以在受害者设备上登录受害者账号，从而访问受害者的加密数据。

防御措施

关于这种攻击的防御措施，依然还是不要打开陌生人邮件里的附件和链接，即使是自己熟悉人的邮件也要保持警惕。如果想继续打开其中的附件，建议在虚拟机环境下打开。