Новая спам-кампания по распространению вредоносной программы TeamSpy обнаружена исследователями из Heimdal Security.
Вредоносная программа была обнаружена в 2013 году. Тогда экспертами венгерской компании CrySyS Lab была зафиксирована кибершпионская кампания против политических и промышленных организаций в восточноевропейских странах, продолжавшаяся на протяжении 10 лет. Кибергруппировка, получившая от исследователей название TeamSpy, пользовалась программой TeamViewer для удаленного доступа к системам, а также применяла кастомизированное программное обеспечение для того, чтобы похищать конфиденциальную документацию и ключи шифрования. Специалисты также называют именем TeamSpy всю совокупность инструментов, используемых хакерами.
В рамках киберкампании, обнаруженной недавно, хакеры занимаются распространением вредоносной программы посредством социальной инженерии. Для того, чтобы получить доступ к системам, злоумышленники применяют TeamViewer. По словам исследователей, сама утилита не была взломана и не несет угрозу безопасности.
Хакеры задействуют технику взлома DLL, которая позволяет им посредством легитимной программы осуществлять вредоносную активность. В этом случае киберпреступники полностью захватывают контроль над целевым компьютером и скрытно для жертвы похищают данные.
Кибератака начинается с того, что пользователь получает фишинговое электронное письмо с вредоносным вложенным файлом. При открытии zip-архива жертвой происходит выполнение файла, загружающего на систему TeamSpy в виде вредоносной библиотеки. Кибератака дает возможность преодолевать механизм двухфакторной аутентификации и получать доступ к зашифрованной информации.