Μια ομάδα που απειλεί ηθοποιούς ξαναφέρνει στην επιφάνεια το κακόβουλο λογισμικό TVSPY, το οποίο εκμεταλλεύεται μια ευπάθεια στο Teamviewer στην 6η έκδοση λογισμικού, ένα νόμιμο εργαλείο που χρησιμοποιείται για την απομακρυσμένη διαχείριση του υπολογιστή. Αυτή τη φορά όμως, οι δράστες έβαλαν το Teamviewer V6 σε ένα πακέτο μαζί με ένα αντίγραφο του κακόβουλου λογισμικού.
«Η συγκεκριμένη απειλή είναι πολύ επικίνδυνη, μιας και ο εισβολέας θα έχει πλήρη έλεγχο πάνω στο μολυσμένο μηχάνημα”, είπαν οι ερευνητές στο Damballa, που ανακάλυψαν την απειλή. “Μπορεί να χρησιμοποιηθεί κατά τη διάρκεια μιας κοινής εκστρατείας λοίμωξης ή από ορισμένους παράγοντες APT για συγκεκριμένες επιθέσεις εναντίον συγκεκριμένων στόχων.”
Πιο πρόσφατα, μια στοχευμένη εκστρατεία ηλεκτρονικού ταχυδρομείου συμπεριελάμβανε ένα κακόβουλο αρχείο Excel με μια μακροεντολή που κατεβάζει το κακόβουλο λογισμικό. Το μήνυμα ηλεκτρονικού ταχυδρομείου μιμείται το All-Russian Έρευνας και Σχεδιασμού Ινστιτούτο της Πυρηνικής Ενέργειας και Μηχανικών και την ανάλυση του διακομιστή διοίκησης και ελέγχου(Command and Control server) για αυτή την τελευταία παραλλαγή φαίνεται να ανήκει σε επαγγελματίες εγκληματίες.
Το Damballa σημειώνει ότι ο αριθμός των μοναδικών παραλλαγών που έχει δει το 2015 είναι 4,4 φορές τον αριθμό που είχε δει το 2012, και 2,2 φορές ο αριθμός που παρατηρήθηκε σε ολόκληρο 2014. Υπάρχουν κάποιες περιπτώσεις που το Dridex εγκαθιστά και αυτό το κακόβουλο λογισμικό.
“Αυτό το κακόβουλο λογισμικό ήταν σχετικά ήσυχο για περισσότερο από δύο χρόνια, οπότε η σχεδόν τριπλάσια αύξηση της δραστηριότητάς του είναι ανησυχητική”, σύμφωνα με τους ερευνητές.
Το TVSPY, επίσης γνωστή ως TVRAT, spy-Agent ή teamspy, αναπτύχθηκε αρχικά το 2010 από έναν χάκερ που ακολούθησε τα χνάρια του κυρίου Burns. Δημιούργησε, επίσης, κάτι παρόμοιο που ονομάζεται RMS, το οποίο συμπεριφέρεται πάρα πολύ σαν δημιουργός TVSPY.
“Το RMS / TVSPY συνεχίζει να αναπτύσσεται, με μια νέα έκδοση που δημοσιεύτηκε από τον δημιουργό / μεταπωλητή του έργου, σε τακτική βάση”, σημειώνουν οι ερευνητές του Damballa. “Στην πραγματικότητα, η νόμιμη έκδοση RMS αναπτύχθηκε από TektonIT και η εκδοχή που είναι αναρτημένη στα εγκληματικά φόρουμ φαίνεται να είναι πανομοιότυπη. Το TVSPY φαίνεται να είναι απλώς μια τροποποίηση της RMS ώστε να χρησιμοποιούν την υποδομή του TeamViewer και μια διεπαφή command-and-control διαχειρίσιμη μέσω του Web “.
