После почти четырехлетнего затишья зловред для кражи данных TeamSpy снова появился на радарах — или, по крайней мере, так показал анализ одной из последних спам-кампаний.

Впервые зловреда обнаружили исследователи венгерской компании CrySyS Lab в марте 2013 года, расследуя многолетнюю шпионскую кампанию. До того как исследователи пресекли их, атаки продолжались около 10 лет и были направлены против важных промышленных, исследовательских и правительственных организаций.

В понедельник датские исследователи из компании Heimdal Security объявили о том, что на выходных обнаружили спам-кампанию, в ходе которой распространялся почти забытый зловред. Жертвам предлагалось открыть вредоносный zip-архив, замаскированный под факсимильное сообщение.

При распаковке zip-архива активировался внедренный исполняемый файл с зашитой в него вредоносной DLL-библиотекой (MSIMG32.dll). Зловред использовал метод перехвата DLL-библиотеки и записывал логины и пароли системы в текстовый файл «Log%s#%.3u.txt,» который затем отправлялся на командный сервер.

Вредоносная программа, как и в инцидентах 2013 года, включает в себя компоненты легитимного приложения для удаленного администрирования TeamViewer. В то время как раньше злоумышленники интегрировали компоненты TeamViewer с вредоносными модулями, в самой последней кампании был задействован VPN-инструмент TeamViewer с кейлоггером.

По словам Андры Захариа (Andra Zaharia), ИБ-евангелиста CrySyS, среди файлов, загружаемых на компьютер жертвы, есть бинарники TeamViewer, которые внедряются в файл %SystemDrive%. Также в зараженную систему попадают DLL-библиотеки TeamViewer_Resource_en.dll и TeamViewer_StaticRes.dll.

Захариа заявила, что компоненты TeamViewer используются для обхода безопасности. Инициировав сессию TeamViewer, хакеры могут получить доступ к зашифрованному контенту и обойти двухфакторную аутентификацию. Все происходит без ведома пользователя; благодаря сессии TeamViewer преступники практически незаметны.

Неизвестно, связана ли эта кампания с обнаруженными до этого кампаниями TeamSpy, но, если за всеми ними стоит одна и та же группировка, это будет неудивительно.

Исследователи из CrySyS сказали, что в 2013 году уверенно прослеживалась связь между наблюдаемыми образцами зловреда и можно было говорить о причастности одной и той же группировки к более чем 10-летней шпионской кампании, направленной против организаций в США, Канаде, Китае и Бразилии.

«Почти для каждой отдельной активности группировка использует особые инструменты — это может свидетельствовать, что количество занятых в ОПГ хакеров довольно мало, но они профессионалы-многостаночники, умеющие как стратегически спланировать, так и непосредственно провести атаку», — рассказали в CrySyS.

Во вторник представитель TeamViewer в комментарии заявил, что компания проверяет сведения от Heimdal, но не думает, что в программе имеется брешь.

«Очевидно, что компоненты TeamViewer используются уже после заражения, поэтому основная задача — это предотвратить изначальное проникновение зловреда в систему», — заявили в TeamViewer, добавив, что пользователи должны своевременно обновлять ПО, запрещать совместную загрузку программ и скачивать TeamViewer только из официальных источников.

Категории: Вредоносные программы, Спам, Хакеры