Descubren una nueva campaña de ciberespionaje
Se trata de TeamSpy, una campaña en activo que representa una amenaza para las agencias de información de todo el mundo, especialmente en las ex repúblicas soviéticas y los países de Europa del Este.
Tras el análisis realizado, la firma asegura que “TeamSpy es una operación en activo y representa una amenaza significativa para las agencias de información de todo el mundo, especialmente en las ex repúblicas soviéticas y los países de Europa del Este”.
Aunque la se identificaron por primera vez huellas de TeamSpy en abril de 2012, “después de que un gran número de activistas sociales y políticos bielorrusos anunciaran públicamente que sus sistemas estaban infectados por malware cuyo fin era el ciberespionaje, un análisis más detallado de la infraestructura de Comando y Control (C2) de TeamSpy reveló que uno de los nombres de dominio fue registrado en 2004, lo que indica que la operación TeamSpy podría estar en activo desde hace casi una década”.
La tercera conclusión es que “los creadores de TeamSpy controlan de forma remota el software malicioso que se ejecuta en los equipos de las víctimas mediante la aplicación TeamViewer (teamviewer.exe), un programa para ordenador cuya función es conectarse remotamente a otro equipo y que se firma con certificados digitales legítimos. A través de TeamViewer, los atacantes son capaces de llevar a cabo operaciones que derivan en el robo de datos de los equipos infectados”.
Archivos confidenciales, documentos importantes de Office, archivos en PDF, claves cifradas, contraseñas utilizadas para acceder a información sensible, los datos de historial de los dispositivos de Apple iOS de iTunes, configuraciones detalladas, también del sistema operativo e información de la BIOS y capturas a través de keylogger, de pantallas e imágenes de disco, son los datos sensibles y la información robada por TeamSpy.