Echipa Kaspersky Global Research and Analysis (GReAT) a dezvăluit o campanie globală rău intenționată în care atacatorii au folosit Telegram pentru a livra programe spyware, în principiu vizând persoane și companii din industria fintech și de tranzacționare. Programul malware este conceput pentru a fura date sensibile, cum ar fi parolele, și pentru a prelua controlul asupra dispozitivelor utilizatorilor în scopuri de spionaj.
Se crede că campania este legată de DeathStalker, un actor infam de tip hack-for-hire APT (Advanced Persistent Threat) care oferă servicii specializate de hacking și informații financiare. În valul recent de atacuri observate de Kaspersky, actorii amenințărilor au încercat să infecteze victimele cu malware DarkMe – un troian care permite accesul la distanță (RAT), conceput pentru a fura informații și a executa comenzi de la distanță, de pe un server controlat de atacatori.
Victimele par să facă parte cu predilecție din sectoarele de tranzacționare și fintech, deoarece indicatorii tehnici sugerează că malware-ul a fost, probabil, distribuit prin canale Telegram axate pe aceste subiecte. Campania a fost globală, Kaspersky identificând victime în peste 20 de țări din Europa, Asia, America Latină și Orientul Mijlociu.
Analiza lanțului de infectare dezvăluie că atacatorii atașau, cel mai probabil, arhive la postările de pe canalele Telegram. Arhivele în sine, cum ar fi fișierele RAR sau ZIP, nu erau nocive, dar conțineau fișiere dăunătoare cu extensii precum .LNK, .com și .cmd. Dacă potențialele victime lansau acest tip de fișiere, ele duceau la instalarea malware-ului DarkMe, printr-o serie de acțiuni.
Pe lângă utilizarea Telegram pentru livrarea de malware, atacatorii și-au îmbunătățit securitatea operațională și curățarea post-compromis. După instalare, malware-ul elimina fișierele folosite pentru a introduce implantul DarkMe. Pentru a împiedica și mai mult analiza și a evita detectarea, atacatorii au crescut dimensiunea fișierului implantului și au șters alte amprente, cum ar fi fișierele post-exploatare, instrumentele și cheile de înregistrare, după ce și-au atins obiectivul.
Deathstalker, cunoscut anterior ca Deceptikons, este un grup de atacatori activ cel puțin din 2018 și, potențial, din 2012. Se crede că este un grup de infractori cibernetici sau de hackeri, care pare să aibă membri competenți care dezvoltă seturi de instrumente proprii și înțeleg ecosistemul avansat de amenințări persistente. Scopul principal al grupului este colectarea de informații personale, financiare și private, eventual în scopuri competitive sau de business intelligence, pentru a-și servi clientela. Vizează de obicei companiile mici și mijlocii, financiare, fintech, firme de avocatură și, în unele cazuri, entități guvernamentale. În ciuda faptului că a urmărit aceste tipuri de ținte, DeathStalker nu a fost niciodată observat furând fonduri, motiv pentru care Kaspersky crede că este o agenție privată de informații.
De asemenea, grupul are o tendință interesantă de a încerca să evite atribuirea activităților lor, mimând alți actori APT și încorporând steaguri false.
Pentru securitatea personală, Kaspersky recomandă următoarele măsuri:
• Instalați o soluție de securitate de încredere și urmați recomandările acesteia. Apoi soluțiile securizate vor rezolva automat majoritatea problemelor și vă vor alerta dacă este necesar.
• Informați-vă cu privire la noile tehnici de atac cibernetic. Asta vă poate ajuta să le recunoașteți și să le evitați. Blogurile de securitate vă vor ajuta să rămâneți la curent cu noile amenințări.
Pentru a se proteja împotriva amenințărilor avansate, experții în securitate Kaspersky recomandă organizațiilor:
• Să ofere profesioniștilor InfoSec o vizibilitate extinsă asupra amenințărilor cibernetice care vizează organizația. Cea mai recentă versiune Kaspersky Threat Intelligence le va oferi un context bogat și semnificativ de-a lungul întregului ciclu de gestionare a incidentelor și va ajuta la identificarea riscurilor cibernetice la timp.
• Să investească în cursuri suplimentare de securitate cibernetică pentru personal, pentru a-i ține la curent cu cele mai recente cunoștințe. Cu pregătirea Kaspersky Expert orientată practic, profesioniștii InfoSec își pot avansa abilitățile și își pot apăra companiile împotriva atacurilor sofisticate. Puteți alege cel mai potrivit format și puteți urma fie cursuri online, auto-ghidate, fie cursuri live conduse de formatori.
• Pentru a proteja compania împotriva unei game largi de amenințări, este recomandată utilizarea soluțiilor din gama de produse Kaspersky Next care oferă protecție în timp real, vizibilitate asupra amenințărilor, investigare și capabilități de răspuns EDR și XDR, pentru organizații de orice dimensiune și industrie. În funcție de nevoile actuale ale companiei și de resursele disponibile, poate fi ales cel mai relevant nivel de produs și se poate migra cu ușurință la altul dacă cerințele de securitate cibernetică ale companiei se schimbă.
