Все началось 20 января нынешнего года, когда исследователь безопасности, известный в Twitter как FewAtoms, обнаружил вредоносный URL с открытой директорией, направляющей пользователей на вредоносный самоизвлекающийся архив (SFX/SEA). Специалисты Trend Micro проанализировали архив и обнаружили в нем маскирующийся под TeamViewer шпионский троян для похищения пользовательских данных.
Как показал подробный анализ архива, после выполнения на системе жертвы вредонос также собирает и отправляет на C&C-домен (hxxp://intersys32[.]com) информацию об устройстве, в том числе имя пользователя и имя компьютера, сведения об ОС и ее архитектуре, объем оперативной памяти и наличие установленных решений безопасности.
Официальный сайт TeamViewer не был затронут атакой, и все загрузки с него являются безопасными и защищенными.