Echipa Kaspersky Global Research and Analysis a dezvăluit o campanie globală rău intenţionată în care atacatorii au folosit Telegram pentru a livra programe spyware.
Potrivit comunicatului primit la redacţie, aceste acţiuni au vizat persoane şi companii din industria fintech şi de tranzacţionare. Programul malware este conceput pentru a fura date sensibile, cum ar fi parolele, şi pentru a prelua controlul asupra dispozitivelor utilizatorilor în scopuri de spionaj.
Se crede că în spatele campaniei a stat DeathStalker, un actor infam de tip hack-for-hire APT (Advanced Persistent Threat) care oferă servicii specializate de hacking şi informaţii financiare. În valul recent de atacuri observate de Kaspersky, actorii ameninţărilor au încercat să infecteze victimele cu malware DarkMe - un troian care permite accesul la distanţă (RAT), conceput pentru a fura informaţii şi a executa comenzi de la distanţă, de pe un server controlat de atacatori.
Victimele par să facă parte cu predilecţie din sectoarele de tranzacţionare şi fintech, deoarece indicatorii tehnici sugerează că malware-ul a fost, probabil, distribuit prin canale Telegram axate pe aceste subiecte. Campania a fost globală, Kaspersky identificând victime în peste 20 de ţări din Europa, Asia, America Latină şi Orientul Mijlociu.
Analiza lanţului de infectare dezvăluie că atacatorii ataşau, cel mai probabil, arhive la postările de pe canalele Telegram. Arhivele în sine, cum ar fi fişierele RAR sau ZIP, nu erau nocive, dar conţineau fişiere dăunătoare cu extensii precum .LNK, .com şi .cmd. Dacă potenţialele victime lansau acest tip de fişiere, ele duceau la instalarea malware-ului DarkMe, printr-o serie de acţiuni.
Pe lângă utilizarea Telegram pentru livrarea de malware, atacatorii şi-au îmbunătăţit securitatea operaţională şi curăţarea post-compromis. După instalare, malware-ul elimina fişierele folosite pentru a introduce implantul DarkMe. Pentru a împiedica şi mai mult analiza şi a evita detectarea, atacatorii au crescut dimensiunea fişierului implantului şi au şters alte amprente, cum ar fi fişierele post-exploatare, instrumentele şi cheile de înregistrare, după ce şi-au atins obiectivul.
Deathstalker, cunoscut anterior ca Deceptikons, este un grup de atacatori activ cel puţin din 2018 şi, potenţial, din 2012. Se crede că este un grup de infractori cibernetici sau de hackeri,
care pare să aibă membri competenţi care dezvoltă seturi de instrumente proprii şi înţeleg ecosistemul avansat de ameninţări persistente. Scopul principal al grupului este colectarea
de informaţii personale, financiare şi private, eventual în scopuri competitive sau de business intelligence, pentru a-şi servi clientela. Vizează de obicei companiile mici şi mijlocii,
financiare, fintech, firme de avocatură şi, în unele cazuri, entităţi guvernamentale. În ciuda faptului că a urmărit aceste tipuri de ţinte, DeathStalker nu a fost niciodată observat furând
fonduri, motiv pentru care Kaspersky crede că este o agenţie privată de informaţii.
De asemenea, grupul are o tendinţă interesantă de a încerca să evite atribuirea activităţilor lor, mimând alţi actori APT şi încorporând steaguri false.
Pentru securitatea personală, Kaspersky recomandă următoarele măsuri:
• Instalaţi o soluţie de securitate de încredere şi urmaţi recomandările acesteia. Apoi soluţiile securizate vor rezolva automat majoritatea problemelor şi vă vor alerta dacă este necesar.
• Informaţi-vă cu privire la noile tehnici de atac cibernetic. Asta vă poate ajuta să le recunoaşteţi şi să le evitaţi. Blogurile de securitate vă vor ajuta să rămâneţi la curent cu noile ameninţări.
Pentru a se proteja împotriva ameninţărilor avansate, experţii în securitate Kaspersky recomandă organizaţiilor:
• Să ofere profesioniştilor InfoSec o vizibilitate extinsă asupra ameninţărilor cibernetice care vizează organizaţia. Cea mai recentă versiune Kaspersky Threat Intelligence le va oferi un context bogat şi semnificativ de-a lungul întregului ciclu de gestionare a incidentelor şi va ajuta la identificarea riscurilor cibernetice la timp.
• Să investească în cursuri suplimentare de securitate cibernetică pentru personal, pentru a-i ţine la curent cu cele mai recente cunoştinţe. Cu pregătirea Kaspersky Expert orientată practic, profesioniştii InfoSec îşi pot avansa abilităţile şi îşi pot apăra companiile împotriva atacurilor sofisticate. Puteţi alege cel mai potrivit format şi puteţi urma fie cursuri online, auto-ghidate, fie cursuri live conduse de formatori.
Pentru a proteja compania împotriva unei game largi de ameninţări, este recomandată utilizarea soluţiilor din gama de produse Kaspersky Next care oferă protecţie în timp real, vizibilitate asupra ameninţărilor, investigare şi capabilităţi de răspuns EDR şi XDR, pentru organizaţii de orice dimensiune şi industrie. În funcţie de nevoile actuale ale companiei şi de resursele disponibile, poate fi ales cel mai relevant nivel de produs şi se poate migra cu uşurinţă la altul dacă cerinţele de securitate cibernetică ale companiei se schimbă.
Opinia Cititorului