![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Aktuell noch eine kleine Sicherheitswarnung, speziell auch an Firmen. Momentan scheint wohl wieder eine Spammer-Kampagne zu laufen, die Malware verteilt. Diese zielt auf den TeamViewer, um das System des Opfers auszuspionieren.<\/p>\nAktuell noch eine kleine Sicherheitswarnung, speziell auch an Firmen. Momentan scheint wohl wieder eine Spammer-Kampagne zu laufen, die Malware verteilt. Diese zielt auf den TeamViewer, um das System des Opfers auszuspionieren.<\/p>\n
<\/p>\n
Blog-Leser Leon hat mich auf das Thema aufmerksam gemacht (danke f\u00fcr den Hinweis). Sicherheitsspezialisten des d\u00e4nischen Anbieters Heimdahl haben eine neue, TeamSpy genannte, Malware-Kampagne entdeckt, bei der \u00fcber Spam-Mails eine Malware als Anhang verschickt wird. Die Opfer erhalten eine Mail mit folgendem Inhalt:<\/p>\n
From<\/strong>: [spoofed \/ Forged return address]<\/p>\n
Subject line<\/strong>: eFax message from \"1408581 **\"<\/p>\n
Attached<\/strong>:<\/p>\n
Fax_02755665224.zip -> Fax_02755665224.EXE<\/p><\/blockquote>\n
Die Absenderadresse ist gef\u00e4lscht, es geht angeblich um eine eFax, welches als Anhang an der Mail mitkommt. Aber statt einer TIFF-Datei handelt es sich um ein ZIP-Archiv, die eine .exe-Datei mit dem Sch\u00e4dling enth\u00e4lt.<\/p>\n
\n
- F\u00fchrt das Opfer die .exe-Datei aus, um das vermeintliche eFax einzusehen, legt die TeamSpy genannte Malware eine infizierte DLL auf dem Windows-System unter [% APPDATA%] \\ SysplanNT \u200b\u200b\\ MSIMG32.dll<\/em> ab.<\/li>\n
- Gleichzeitig wird die DLL \u00fcber regsvr32.exe registriert und im Anschluss eine BAT-Datei ausgef\u00fchrt.<\/li>\n<\/ul>\n
Die BAT-Datei l\u00e4dt legitime Komponenten des TeamViewers nach, richtet aber einen Keylogger sowie eine TeamViewer VPN ein. Im Anschluss wird der Rechner des Opfers remote ausspioniert. F\u00fcr das Opfer ist das Ganze nicht erkennbar. Laut heimdal hebelt das Ganze auch eine Zweifaktor-Authentifizierung aus. Bei Virustotal erkennen 8 von 58 Virenscannern den Sch\u00e4dling. Weitere Details sind hier nachlesbar.<\/p>\n
Um Missverst\u00e4ndnissen vorzubeugen – der TeamViewer selbst ist nicht\u00a0kompromittiert und ist an sich sicher. Das schreiben die Sicherheitsexperten bei heimdal auch explizit \"First of all, we have to mention that TeamViewer has not been compromised and is entirely safe to use\". Der springende Punkt: Die Nutzer holen sich mit dem Mail-Anhang Malware auf das System. Die \u00fcber die Malware-Kampagne heruntergeladene Schadsoftware missbraucht dann eine heimlich nachgeladene und installierte TeamViewer-Komponente f\u00fcr ihre Spionageaktivit\u00e4ten. Das Opfer bekommt von diesen ganzen Aktivit\u00e4ten nichts mit.<\/p><\/blockquote>\n
Das Ganze ist \u00fcbrigens nichts Neues \u2013 \u00e4hnliche Angriffe durch Missbrauch des\u00a0TeamViewer gab es bereits h\u00e4ufiger. Das letzte Auftreten von TeamSpy wurde im Jahr 2013<\/a> bemerkt, als eine bereits \u00fcber 10 Jahre laufende Spionage-Kampagne in Osteuropa aufflog. Ziel der Kampagne war es wohl, Informationen \u00fcber die Opfer und deren Systeme zu bekommen. Unter den infizierten Systemen waren viele normale Nutzer. Aber es hat wohl auch potentiell lohnende Ziele aus Industrie, Forschung, Politik und Diplomaten waren darunter. Auch hier im Blog hatte ich 2016 einen solchen Angriff thematisiert.<\/p>\n
Mir sind die Tage Spam-Mails ohne Betreff und Anhang aufgefallen, die in diese Richtung gehen k\u00f6nnten. Also Augen offen halten, wachsam bleiben und ggf. in Firmen die Mitarbeiter briefen.<\/p>\n
\u00c4hnliche Artikel<\/strong>
\nSicherheitswarnung f\u00fcr GoToMyPC und TeamViewer<\/a>
\nTeamViewer-\u00c4rger: Ausfall und Backdoor-Trojaner<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Aktuell noch eine kleine Sicherheitswarnung, speziell auch an Firmen. Momentan scheint wohl wieder eine Spammer-Kampagne zu laufen, die Malware verteilt. Diese zielt auf den TeamViewer, um das System des Opfers auszuspionieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[1018,5934,2795],"class_list":["post-187708","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-malware","tag-teamspy","tag-teamviewer"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187708","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=187708"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187708\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=187708"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=187708"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=187708"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}