TeamSpy Malware-Kampagne zielt erneut auf TeamViewer

Publiziert am 21. Februar 2017 von Günter Born

Aktuell noch eine kleine Sicherheitswarnung, speziell auch an Firmen. Momentan scheint wohl wieder eine Spammer-Kampagne zu laufen, die Malware verteilt. Diese zielt auf den TeamViewer, um das System des Opfers auszuspionieren.

Anzeige

Blog-Leser Leon hat mich auf das Thema aufmerksam gemacht (danke für den Hinweis). Sicherheitsspezialisten des dänischen Anbieters Heimdahl haben eine neue, TeamSpy genannte, Malware-Kampagne entdeckt, bei der über Spam-Mails eine Malware als Anhang verschickt wird. Die Opfer erhalten eine Mail mit folgendem Inhalt:

From: [spoofed / Forged return address]

Subject line: eFax message from "1408581 **"

Attached:

Fax_02755665224.zip -> Fax_02755665224.EXE

Die Absenderadresse ist gefälscht, es geht angeblich um eine eFax, welches als Anhang an der Mail mitkommt. Aber statt einer TIFF-Datei handelt es sich um ein ZIP-Archiv, die eine .exe-Datei mit dem Schädling enthält.

  • Führt das Opfer die .exe-Datei aus, um das vermeintliche eFax einzusehen, legt die TeamSpy genannte Malware eine infizierte DLL auf dem Windows-System unter [% APPDATA%] \ SysplanNT ​​\ MSIMG32.dll ab.
  • Gleichzeitig wird die DLL über regsvr32.exe registriert und im Anschluss eine BAT-Datei ausgeführt.

Die BAT-Datei lädt legitime Komponenten des TeamViewers nach, richtet aber einen Keylogger sowie eine TeamViewer VPN ein. Im Anschluss wird der Rechner des Opfers remote ausspioniert. Für das Opfer ist das Ganze nicht erkennbar. Laut heimdal hebelt das Ganze auch eine Zweifaktor-Authentifizierung aus. Bei Virustotal erkennen 8 von 58 Virenscannern den Schädling. Weitere Details sind hier nachlesbar.

Um Missverständnissen vorzubeugen – der TeamViewer selbst ist nicht kompromittiert und ist an sich sicher. Das schreiben die Sicherheitsexperten bei heimdal auch explizit "First of all, we have to mention that TeamViewer has not been compromised and is entirely safe to use". Der springende Punkt: Die Nutzer holen sich mit dem Mail-Anhang Malware auf das System. Die über die Malware-Kampagne heruntergeladene Schadsoftware missbraucht dann eine heimlich nachgeladene und installierte TeamViewer-Komponente für ihre Spionageaktivitäten. Das Opfer bekommt von diesen ganzen Aktivitäten nichts mit.

Das Ganze ist übrigens nichts Neues – ähnliche Angriffe durch Missbrauch des TeamViewer gab es bereits häufiger. Das letzte Auftreten von TeamSpy wurde im Jahr 2013 bemerkt, als eine bereits über 10 Jahre laufende Spionage-Kampagne in Osteuropa aufflog. Ziel der Kampagne war es wohl, Informationen über die Opfer und deren Systeme zu bekommen. Unter den infizierten Systemen waren viele normale Nutzer. Aber es hat wohl auch potentiell lohnende Ziele aus Industrie, Forschung, Politik und Diplomaten waren darunter. Auch hier im Blog hatte ich 2016 einen solchen Angriff thematisiert.

Mir sind die Tage Spam-Mails ohne Betreff und Anhang aufgefallen, die in diese Richtung gehen könnten. Also Augen offen halten, wachsam bleiben und ggf. in Firmen die Mitarbeiter briefen.

Ähnliche Artikel
Sicherheitswarnung für GoToMyPC und TeamViewer
TeamViewer-Ärger: Ausfall und Backdoor-Trojaner

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.