Nueva campaña de spam que aprovecha el malware TeamSpy para espiar en las víctimas.
Los expertos en seguridad de Heimdal han descubierto una nueva campaña de spam que surgió durante el fin de semana del 17 de febrero. Los ladrones utilizan el conocido software malicioso TeamSpy para tener acceso completo a los equipos de destino.
El malware TeamSpy aparecio en el 2013 cuando los investigadores de seguridad de Hungría CrySyS Lab descubrieron hace una campaña que dirige entidades políticas e industriales de alto nivel en Europa del Este.
Los atacantes, llamados por los investigadores de seguridad TeamSpy, utilizan el popular programa de acceso remoto TeamViewer y un malware especialmente diseñado para robar documentos secretos y claves de cifrado de las víctimas.
De vuelta al presente, la última ola de ataques explotada por ingeniería social ataca para engañar a las víctimas para que instalen el programa malicioso TeamSpy. Los autores de malware usan DLL para ejecutar acciones no autorizadas a través de software legítimo.
La cadena se inicia al adjuntar con el correo spam utilizando los archivos adjuntos .zip, tales como: Fax_02755665224.zip, Fax_02755665224.EXE
Cuando la víctima abre el adjunto se ejecuta el archivo .exe que acompaña el malware TeamSpy en el ordenador de la víctima, como una DLL maliciosa: [% APPDATA%]\SysplanNT\msimg32.dll. Esa biblioteca se había registrado a través de C:\Windows\system32\regsvr32.exe "/ s" [% APPDATA%]\SysplanNT\msimg32.dll
Según los investigadores, el malware TeamSpy incluye diversos componentes de la aplicación de otra forma legítima de TeamViewer, dos de ellos son keylogger y un VPN de TeamViewer.
Los ataques descubiertos por la seguridad Heimdal son muy insidiosos para las víctimas que no serán capaces de detectarlas.
"Teniendo en cuenta lo que ocurre la infección TeamSpy, es evidente que una sesión de TeamViewer iniciado por los atacantes será invisible para la víctima. Esto puede dar lugar a numerosas formas de abuso contra los servicios que el usuario conectado se ejecuta en su / su equipo. " Afirma el análisis compartido por Heimdal Seguridad.
"Este ataque también puede eludir la autenticación de dos factores y también se puede dar a los delincuentes el acceso a contenido cifrado, que no está encriptada por los usuarios en sus ordenadores comprometidos".
"Es muy recomendable que analize cuidadosamente los correos electrónicos no deseados que recibe y que no descargue archivos adjuntos de correo electrónico de remitentes desconocidos. El malware puede disfrazar de muchas formas en la web, y todo lo que se necesita es un clic para desencadenar una infección. " Concluyó el análisis.
