TeamSpy 악성코드가 돌아왔다! TeamViewer를 스파잉 소프트웨어로 둔갑시켜

TeamSpy 악성코드가 돌아왔다! TeamViewer를 스파잉 소프트웨어로 둔갑시켜

TeamSpy malware is back, it transforms TeamViewer into a spying software

최근 보안 전문가들은 TeamSpy 악성코드를 이용하여 피해자들을 스파잉하는 새로운 스팸 캠페인을 발견했습니다.

지난 2013년 동유럽의 고위 정치가 및 산업체를 타겟으로 한 사이버 스파잉 캠페인 이후로, TeamSpy 악성코드에 대한 소식은 꽤 오랜동안 없었습니다. TeamSpy로 명명된 이 악성코드는 원격 접속 프로그램인 TeamViewer와 사용자들의 보안 문서와 암호 키를 훔치기 위해 특수 제작된 악성코드입니다. 

최근 발견된 TeamSpy 악성코드는 소셜엔지니어링 공격을 통해 사용자들을 감염시켰으며, 감염시킨 후에는 DLL 하이재킹을 사용해 합법적인 소프트웨어를 통해 허가받지 않은 작업을 실행하였습니다. 

해당 공격은 다음과 같은 .zip 파일을 첨부한 이메일을 통해 시작됩니다. 

Fax_02755665224.zip -> Fax_02755665224.EXE

사용자가 이 zip 파일을 오픈하면, 안에 들어있는 .exe 파일이 실행되어 TeamSpy 악성코드를 피해자의 컴퓨터에 악성 DLL로 드랍합니다.

[% APPDATA%] \ SysplanNT \ MSIMG32.dll. That library then recorded via C: \ Windows \ system32 \ regsvr32. exe “/ s” [% APPDATA%] \ SysplanNT \ MSIMG32.dll

TeamSpy 악성코드는 TeamViewer 외에 키로거와 TeamViewer VPN 등 다양한 컴포넌트들을 포함하고 있습니다. 

TeamSpy는 감염시킨 사용자 컴퓨터에서 실행되는 서비스를 다양한 형태로 악용할 수 있을 뿐만 아니라, 이중 인증을 우회할 수 있습니다. 또한 컴퓨터에서 사용자가 암호화 하지 않은 컨텐츠들에 접근할 수 있습니다. 

현재 알약에서는 해당 악성코드에 대하여 Trojan.Agent.Bayrob로 탐지중에 있습니다. 

참고 : 

http://securityaffairs.co/wordpress/56490/malware/teamspy-malware.html

https://heimdalsecurity.com/blog/security-alert-teamspy-turn-teamviewer-into-spying-tool/