Με μία νέα εκστρατεία, το κακόβουλο λογισμικό TeamSpy έχει γίνει ο πονοκέφαλος πολλών χρηστών τις τελευταίες ημέρες. Το εν λόγω malware εντοπίστηκε για πρώτη φορά το 2013, ύστερα από περίπου 10 χρόνια ανεμπόδιστης λειτουργίας! Αποκτώντας πρόσβαση σε αμέτρητους ηλεκτρονικούς υπολογιστές, το TeamSpy μετέτρεπε το γνωστό λογισμικό απομακρυσμένης πρόσβασης TeamViewer σε πραγματικό εργαλείο κατασκοπείας!

Πώς λειτουργεί αυτή τη φορά το TeamSpy;

Η τρέχουσα επίθεση βασίζεται στο social engineering* και στην απροσεξία του χρήστη, ο οποίος εξαπατάται και εγκαθιστά τον ιό μόνος του. Η τακτική που χρησιμοποιείται ονομάζεται DLL hijacking, κατά την οποία ένα γνήσιο λογισμικό εξυπηρετεί κακόβουλους σκοπούς.

Οι ανυποψίαστοι χρήστες λαμβάνουν από πλαστή διεύθυνση ένα email, στο οποίο επισυνάπτεται ένα αρχείο zip που φέρει τον ιό. Όταν ο χρήστης ανοίξει και τρέξει το αρχείο .exe στον υπολογιστή του, μολύνεται με το TeamSpy. Το malware αρχικά εγκαθιστά μια νόμιμη έκδοση του TeamViewer στον υπολογιστή και στη συνέχεια αλλάζει τη συμπεριφορά του hacked DLL αρχείου για να παραμένει κρυμμένο. Αποκτώντας πρόσβαση στον υπολογιστή του θύματος, το κακόβουλο λογισμικό αντιγράφει όλα τα logs – συμπεριλαμβανομένων των διαθέσιμων usernames και passwords των χρηστών – σε ένα αρχείο που αποστέλλεται σε έναν C&C server.

Σύμφωνα με την εταιρία ασφαλείας Heimdal, οι ερευνητές της οποίας εντόπισαν τον συγκεκριμένο ιό, το email που έφτασε στους χρήστες είχε ως εξής:
Από: [spoofed / Forged return address]
Θέμα: “eFax message from “1408581 **.”
Συνημμένο: Fax_02755665224.zip -> Fax_02755665224.EXE

Επειδή η εκστρατεία αυτή είναι νέα, πολύ λίγα antivirus λογισμικά είναι σε θέση να εντοπίσουν το TeamSpy και να προστατέψουν τον υπολογιστή του χρήστη. Με μία αναζήτηση στο VirusTotal, τα αποτελέσματα ήταν αποκαρδιωτικά, καθώς μόνο 8 στους 58 antivirus scanners αναγνώρισαν ως κακόβουλο το TeamSpy. Συνιστούμε, λοιπόν, να είσαστε ιδιαίτερα προσεκτικοί, να ελέγχετε τα μηνύματα του ηλεκτρονικού σας ταχυδρομείου και να μην κατεβάζετε αρχεία από άγνωστους αποστολείς.

*Ο όρος Social Engineering αναφέρεται σε μία μορφή ψυχολογικής χειραγώγησης του χρήστη στο να προβεί σε συγκεκριμένες ενέργειες ή να αποκαλύψει ευαίσθητες πληροφορίες. Μερικές από τις τακτικές που χρησιμοποιούνται είναι το ψέμα, η ψυχολογική βία, ο εκβιασμός και άλλες απειλές.