Занимающаяся информационной безопасностью компания Heimdal сообщает, что в выходные была зафиксирована новая кампания по распространению спама, несущая с собой вредоносное приложение TeamSpy. Эта программа способна дать хакерам полный доступ к пострадавшим от неё компьютерам.
Это приложение уже проявило себя в 2013 году, заразив множество ПК. Тогда злоумышленники собирали информацию относительно своих жертв, как обычных людей, так и высокопоставленных сотрудников различных компаний, организаций и даже у дипломатов. На этот раз, судя по всему, приложение TeamViewer не было скомпрометировано, так что повторное использование паролей не несёт с собой риска, хотя делать так не рекомендуется. Хакеры используют методы социальной инженерии и заставляют пользователей установить вредоносную программу.
Пользователь получает письмо с вложенным архивом Zip, который при распаковке активирует файл .exe. TeamSpy попадает на компьютер в виде файла DLL. Заголовок письма гласит 1408581 **. Как и раньше, злоумышленники ставят на компьютер обычную версию программы TeamViewer и после этого меняют её поведение при помощи DLL, чтобы скрыть следы своей деятельности. Программа TeamSpy содержит различные компоненты приложения TeamViewer, в их число входят кейлоггер и TeamViewer VPN.
Логи сохраняются в файл, куда добавляются все имена и пароли пользователей, файл постоянно отправляется на командный сервер. Программа способна обойти двухфакторную аутентификацию и может дать доступ к зашифрованному контенту, который пользователи расшифровывают у себя на компьютере.
Уровень обнаружения приложения антивирусами пока низкий — 15/58. Среди находящих его антивирусов можно назвать антивирус Касперского, ESET, Cyren, McAfee, Microsoft, Sophos и Symantec.
Предположительно, атака только набирает обороты. Пользователям не рекомендуется открывать файлы от неизвестных получателей, переходить по ссылкам и открывать вложенные файлы.