安全研究员上周末发现了一个新的网络间谍活动,旨在传播恶意软件 TeamSpy ,以便获得对目标计算机的访问权限,而恶意软件 TeamSpy 又由远程访问工具 TeamViewer 和键盘记录器等组件组成。
恶意软件 TeamSpy 早在 2013 年就被报道过,当时匈牙利 CrySyS 实验室的研究人员发现了一起长达十年的网络间谍活动。该活动针对东欧外交人士和工业、使用恶意软件 TeamSpy 窃取秘密文件和加密密钥。
近期,恶意软件 TeamSpy 又开始活跃起来,攻击者利用社会工程学诱骗受害者安装软件,并通过 DLL 劫持技术保持隐蔽性,使用合法的远程访问工具 TeamViewer 执行未经授权的操作。
DLL 劫持技术
DLL 文件为动态链接库文件,当一个程序运行时,Windows 将查找并调用相应的 DLL 文件。首先从当前程序所在的目录加载 DLL,如果没找到,则在系统目录中查找,最后才是在环境变量目录中查找。攻击者将在程序目录下伪造 DLL 的同名函数,这样程序将优先调用伪造的 DLL 文件,先执行伪造文件中的恶意代码,处理完毕后,再调用原 DLL 文件。
攻击者发送的网络钓鱼邮件中包含一个 zip 附件,当受害者打开压缩包的同时将执行附带的 exe 文件,如 Fax_02755665224.zip – > Fax_02755665224.EXE 。恶意软件将在受害者的计算机上安装合法版本的 TeamViewer ,并劫持 DLL 以确保它保持隐藏。这种攻击还可以绕过双因素身份验证,攻击者可访问计算机上未被加密的内容。
目前,大多数杀毒软件还无法检测到恶意软件 TeamSpy ,它在 VirusTotal 上的检出率仅为 15/58 。这意味着只有 15 家杀毒软件能检测出,如卡巴斯基、ESET、Cyren、McAfee、Microsoft、Sophos 等。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册