TeamSpy又回來了，TeamViewer變成了它的攻擊載體

上週末，Heimdal Security的安全專家了一個新的垃圾郵件惡意活動，它們正在利用TeamSpy惡意軟體竊聽受害者資訊。

自從2013年最後一次出現之後，TeamSpy就再也沒有出現過了。4年前，CrySyS Lab的安全研究員發現了一個存在數十年之久的網路間諜組織，它的目標主要是東歐國家的高階別政治組織和工業組織，攻擊手段是利用社工的方式誘騙受害者安裝TeamSpy惡意軟體。

TeamSpy沉寂四年之後再次出現了

而沉寂了幾年之後，TeamSpy再次出現了。它利用流行的遠端控制軟體TeamViewer和精心構造的惡意軟體從受害者手中竊取機密文件和加密金鑰。

攻擊鏈條始於一個含有壓縮檔案的垃圾郵件：Fax_02755665224.zip -> Fax_02755665224.EXE。當受害者開啟壓縮檔案時，惡意程式便會執行另外一個exe檔案，從而在受害者裝置上安裝TeamSpy。惡意DLL如下：

[% APPDATA%]  SysplanNT  MSIMG32.dll. That library then recorded via C:  Windows  system32  regsvr32. exe “/ s” [% APPDATA%]  SysplanNT  MSIMG32.dll

根據研究人員的調查顯示，TeamSpy包含很多元件TeamViewer VPN、鍵盤記錄器。另外，它的隱藏性也非常好，受害者很難發現自己已經被攻擊了，就連防毒軟體也很難檢測到TeamSpy變種。

至於TeamSpy是怎樣感染的使用者，受害者肯定是看不見的，但是它確實已經感染了受害者裝置。這種攻擊還能繞過雙因素認證，所以攻擊者可以在受害者裝置上登入受害者賬號，從而訪問受害者的加密資料。

防禦措施

關於這種攻擊的防禦措施，依然還是不要開啟陌生人郵件裡的附件和連結，即使是自己熟悉人的郵件也要保持警惕。如果想繼續開啟其中的附件，建議在虛擬機器環境下開啟。