Глобальная шпионская кампания использует Telegram для нападения на секторы торговли и финансовых технологий

Группа глобальных исследований и анализа Касперского (GReAT) раскрыла сложную глобальную шпионскую кампанию, в ходе которой злоумышленники используют приложение Telegram для установки троянского программного обеспечения, нацеленного на частных лиц и предприятия в сфере финансовых технологий и коммерции в нескольких странах Европы, Азии и Латинской Америки. Америка и Ближний Восток.

 Вредоносное ПО в этой кампании предназначено для кражи конфиденциальных данных, таких как пароли, и получения контроля над устройствами пользователей в шпионских целях, тем самым угрожая безопасности частных лиц и предприятий.

Эксперты «Лаборатории Касперского» полагают, что кампания связана со знаменитой группировкой «DeathStalker», работающей в области современных постоянных угроз (APT), поскольку она практикует платный взлом и предоставляет специализированные услуги по хакерству и финансовой разведке.

В ходе недавней волны атак, которые отслеживала «Лаборатория Касперского», источники угроз пытались заразить своих жертв вредоносным ПО DarkMe. Это троян удаленного доступа (RAT), предназначенный для кражи информации и удаленного выполнения команд с сервера, контролируемого злоумышленниками.

Кампания была нацелена на жертв в сфере торговли и финансовых технологий, поскольку технические индикаторы указывают на то, что вредоносное ПО распространялось через каналы Telegram, скорее всего, ориентированные на эти темы. Кампания имела глобальный размах: Касперский обнаружил жертв в более чем 20 странах Европы, Азии, Латинской Америки и Ближнего Востока.

Детали кампании:

Анализ цепочки заражения показал, что злоумышленники прикрепляли вредоносные архивные файлы к сообщениям из Telegram-каналов. Эти архивные файлы, включая файлы RAR или ZIP, сами по себе не были вредоносными, но содержали вредоносные файлы с такими расширениями, как .lnk, .com и . cmd. Когда потенциальные жертвы запускают эти файлы, они устанавливают вредоносное ПО DarkMe, выполнив ряд действий.

Помимо использования Telegram для установки вредоносного ПО, злоумышленники улучшили операционную безопасность и методы удаления после эксплуатации. После установки вредоносная программа удалила файлы, используемые для развертывания DarkMe.

Чтобы еще больше затруднить анализ и попытаться избежать обнаружения, злоумышленники увеличили размер файла имплантата и удалили другие каталоги, такие как файлы, инструменты и ключи реестра после компрометации, после достижения своей цели.

Следует отметить, что группа Deathstalker ранее была известна как Десептиконы и была активным источником угроз как минимум с 2018 года, а возможно, и с 2012 года. Считается, что в качестве источника угрозы она состоит из наемных кибер-наемников или хакеров. кажется, есть опытные участники. Они самостоятельно разрабатывают наборы инструментов и имеют представление о развитой экосистеме постоянных угроз. Основная цель группы — сбор коммерческой, финансовой и личной информации, возможно, для целей конкуренции или бизнес-аналитики, для обслуживания своих клиентов.

Группа обычно нацелена на малый и средний бизнес, финансовые компании, финтех-компании, юридические фирмы и, в некоторых случаях, государственные учреждения. С такими типами целей DeathStalker никогда не был замечен в краже денег, поэтому Касперский считает, что это частная разведывательная организация.