Andra Zaharia, nhà nghiên cứu bảo mật của Heimdal Security khuyến cáo người dùng nên cẩn thận khi mở email từ người lạ và phân tích tất cả các email mà họ nhận được, nếu có một tập tin đính kèm mà có vẻ nghi ngờ, tốt hơn là không click vào nó.

 TeamSpy được phát hiện vào năm 2013, khi đó TeamSpy hoạt động như là gián điệp mạng dài gần 10 năm mới được phát hiện. Các báo cáo từ 3 năm trước đây nói rằng: Có lẻ mục tiêu chính của những kẻ tấn công đã thu thập thông tin từ các máy tính bị nhiễm. Nhiều người trong số các nạn nhân là người dùng bình thường, nhưng một số các nạn nhân khác là nhà nghiên cứu, nhà sản xuất công nghiệp, hoặc nhà ngoại giao,...dựa trên việc sử dụng ứng dụng truy cập từ xa TeamViewer.

 Làm thế nào TeamSpy hoạt đông mà không bị phát hiện?

 Trước hết, chúng ta phải đề cập rằng TeamViewer là một trong các nhà cung cấp được ưa chuộng nhất thế giới về phần mềm họp trực tuyến và điều khiển từ xa với hơn 200 triệu người dùng toàn cầu, bên cạnh đó Tiemview cũng phát triển phần mềm bảo mật ITBrain antivirus.

Những lệnh ẩn
Hầu hết các phần mềm độc hại giao tiếp với một máy chủ lệnh và kiểm soát (C & C) sau khi lây nhiễm sang một thiết bị. Như tên cho thấy, máy chủ C & C là trung tâm điều khiển gửi các lệnh cho phần mềm độc hại để thực hiện. Các máy chủ C & C cũng là nơi mà phần mềm độc hại gửi lại dữ liệu thu thập được. Đối với giao tiếp này, các tác giả phần mềm độc hại thường thực hiện một giao thức tùy chỉnh, có thể dễ dàng phát hiện và phân biệt với lưu lượng truy cập khác và do đó bị chặn bởi các giải pháp chống vi-rút. Để làm cho các giải pháp chống vi rút khó phát hiện hơn, một số tác giả phần mềm độc hại sử dụng các chương trình điều khiển từ xa phổ biến, như TeamViewer, thay vì tận dụng mạng VPN để che giấu sự giao tiếp giữa phần mềm độc hại và các máy chủ C & C.

Tuy nhiên tấn công hiện này dựa trên các công cụ của mạng xã hội và và việc sử dụng bất cẩn để lừa nạn nhân vào cài đặt phần mềm độc hại TeamSpy, một kỹ thuật mới được gọi là DLL hijacking, mà thủ đoạn là nó được cài đặt chạy dưới nền của một chương trình phần mềm hợp pháp để thực hiện các hành động trái phép. Trong trường hợp này, kẻ tấn công lợi dụng TeamViewer VPN và keylogger để tìm cách giành quyền kiểm soát hoàn toàn của các máy tính bị nhiễm và thu thập thông tin bí mật từ nó mà không tăng nghi ngờ hay bị phát hiện. Nó bắt đầu với việc người dùng nhận được một email có chứa một tập tin đính kèm, khi người nhận mở email đó, một file exe mà cũng gắn liền với tập tin này sẽ được kích hoạt gây ra các mã phần mềm độc hại TeamSpy.

TeamSpy lây lan qua email spam được thiết kế để lừa mọi người mở một tài liệu đính kèm. Tệp đính kèm là tệp Excel có macro. Khi tệp đính kèm được mở ra, màn hình sau sẽ xuất hiện: 

Khi macro được kích hoạt bởi người dùng, quá trình lây nhiễm bắt đầu và TeamSpy chạy hoàn toàn dưới nền, do đó nạn nhân không nhận thấy bất cứ điều gì.

Hãy cùng các chuyên gia của Avast Software và AVG Technology phân tích sâu hơn về TeamSpy, phần mềm độc hại cho phép tin tặc hoàn toàn kiểm soát từ xa các máy tính cá nhân qua link sau: https://blog.avast.com/a-deeper-look-into-malware-abusing-teamviewer 

 Tỷ lệ phát hiện TeamSpy trên VirusTotal: goo.gl/jE04xq  

(Nguồn: Heimdal Security)