El descubrimiento de TeamSpy ha sido anunciado hoy por CrySyS Lab y el Gobierno húngaro tras analizar la campaña. Según el informe de Kaspersky Lab, el malware TeamSpy ha sido diseñado para llevar a cabo ciberespionaje de forma sostenida sobre sus víctimas, mientras robaba datos confidenciales e información de reconocimiento geopolítico.
Principales descubrimientos de la investigación de Kaspersky Lab:
• TeamSpy es una operación en activo y representa una amenaza significativa para las agencias de información de todo el mundo, especialmente en las ex repúblicas soviéticas y los países de Europa del Este.
• Los expertos de Kaspersky Lab identificaron por primera vez huellas de TeamSpy en abril de 2012, después de que un gran número de activistas sociales y políticos bielorrusos anunciaran públicamente que sus sistemas estaban infectados por malware cuyo fin era el ciberespionaje. Sin embargo, un análisis más detallado de la infraestructura de Comando y Control (C2) de TeamSpy reveló que uno de los nombres de dominio fue registrado en 2004, lo que indica que la operación TeamSpy podría estar en activo desde hace casi una década.
• Los creadores de TeamSpy controlan de forma remota el software malicioso que se ejecuta en los equipos de las víctimas mediante la aplicación TeamViewer (teamviewer.exe), un programa para ordenador cuya función es conectarse remotamente a otro equipo y que se firma con certificados digitales legítimos. A través de TeamViewer, los atacantes son capaces de llevar a cabo operaciones que derivan en el robo de datos de los equipos infectados.
• Los datos sensibles o información que se robó a las víctimas de TeamSpy son:
■ Archivos confidenciales, documentos importantes de Office y archivos en PDF
■ Claves cifradas y contraseñas utilizadas para acceder a información sensible
■ Los datos de historial de los dispositivos de Apple iOS de iTunes
■ Configuraciones detalladas, también del sistema operativo e información de la BIOS
■ Capturas a través de keylogger, de pantallas e imágenes de disco
Más información en SecureList.
Ilustración: Dreamstime
