Kaspersky descoperă o campanie de atacuri la nivel global, derulată pe Telegram, care vizează utilizatorii fintech

Share

Echipa Kaspersky Global Research and Analysis (GReAT) a dezvăluit o campanie globală rău intenționată în care atacatorii au folosit Telegram pentru a livra programe spyware, în principiu vizând persoane și companii din industria fintech și de tranzacționare. Programul malware este conceput pentru a fura date sensibile, cum ar fi parolele, și pentru a prelua controlul asupra dispozitivelor utilizatorilor în scopuri de spionaj.

 

Se crede că campania este legată de DeathStalker, un actor infam de tip hack-for-hire APT (Advanced Persistent Threat) care oferă servicii specializate de hacking și informații financiare. În valul recent de atacuri observate de Kaspersky, actorii amenințărilor au încercat să infecteze victimele cu malware DarkMe – un troian care permite accesul la distanță (RAT), conceput pentru a fura informații și a executa comenzi de la distanță, de pe un server controlat de atacatori.

 

Victimele par să facă parte cu predilecție din sectoarele de tranzacționare și fintech, deoarece indicatorii tehnici sugerează că malware-ul a fost, probabil, distribuit prin canale Telegram axate pe aceste subiecte. Campania a fost globală, Kaspersky identificând victime în peste 20 de țări din Europa, Asia, America Latină și Orientul Mijlociu.

 

Analiza lanțului de infectare dezvăluie că atacatorii atașau, cel mai probabil, arhive la postările de pe canalele Telegram.  Arhivele în sine, cum ar fi fișierele RAR sau ZIP, nu erau nocive, dar conțineau fișiere dăunătoare cu extensii precum .LNK, .com și .cmd. Dacă potențialele victime lansau acest tip de fișiere, ele duceau la instalarea malware-ului DarkMe, printr-o serie de acțiuni.

 

Pe lângă utilizarea Telegram pentru livrarea de malware, atacatorii și-au îmbunătățit securitatea operațională și curățarea post-compromis. După instalare, malware-ul elimina fișierele folosite pentru a introduce implantul DarkMe. Pentru a împiedica și mai mult analiza și a evita detectarea, atacatorii au crescut dimensiunea fișierului implantului și au șters alte amprente, cum ar fi fișierele post-exploatare, instrumentele și cheile de înregistrare, după ce și-au atins obiectivul.