安天发布《TeamSpy家族样本分析报告》

近日,安天CERT(安全研究与应急处理中心)在梳理网络安全事件时注意到,一种利用远程控制软件TeamViewer进行恶意操作的恶意代码TeamSpy使用针对性的垃圾邮件进行攻击。TeamViewer是一种用于远程支持、远程管理、家庭办公在线协作和会议功能的软件。不幸的是,恶意软件 TeamSpy也发现这个工具非常有利于用来进行恶意活动。恶意软件 TeamSpy 是由远程访问工具 TeamViewer 和键盘记录器等组件组成。攻击者利用社会工程学诱骗受害者安装TeamSpy,并通过 DLL 劫持技术进行隐藏,然后利用合法的远程访问工具 TeamViewer 执行未经授权的操作,从而从受害者的设备中窃取机密文档和密码。

TeamSpy通过垃圾邮件传播 ,附件是一个带有恶意宏代码的Office文档,用户如果受骗上当点击启用宏,恶意代码就会感染计算机,这一切都会在后台运行,因此受害者不会发现任何攻击征兆。但如果安全人员来查看这些恶意宏,他们就可以看到经过混淆的字符串,这些经过修改的字符串通常会分割成一个或多个子串,这些子串最后又能被连接起来。该恶意宏会下载一个受密码保护的Inno安装程序。该程序包含恶意DLL,它hook了多种API函数,可以阻止应用程序访问资源、隐藏TeamViewer界面、使TeamViewer以预定义的密码开始、阻止一些恶意软件创建不需要的对话框、监听传入消息,发送新消息或等待来自C2的回复。

受感染的计算机是通过TeamViewer控制的,攻击者可以连接到远程计算机,因为他们已经知道了TeamViewer的ID和密码。通过TeamViewer聊天的通信可以实现基本的后门功能:applist,wcmd,ver,os,vpn,locale,time,webcam,genid。

安天CERT提醒广大网络使用者,不要随意点击或者复制邮件中的网址,不要轻易下载来源不明的附件。

目前,安天追影产品已经实现了对该类样本的检出。

报告地址:
https://antiy.pta.center/_lk/details.html?hash=08B9A556B239BA47C96A075CA71F7EE2