Echipa Kaspersky Global Research and Analysis (GReAT) a dezvaluit o campanie globala rau intentionata in care atacatorii au folosit Telegram pentru a livra programe spyware, in principiu vizand persoane si companii din industria fintech si de tranzactionare. Programul malware este conceput pentru a fura date sensibile, cum ar fi parolele, si pentru a prelua controlul asupra dispozitivelor utilizatorilor in scopuri de spionaj.
Se crede ca campania este legata de DeathStalker, un actor infam de tip hack-for-hire APT (Advanced Persistent Threat) care ofera servicii specializate de hacking si informatii financiare. In valul recent de atacuri observate de Kaspersky, actorii amenintarilor au incercat sa infecteze victimele cu malware DarkMe – un troian care permite accesul la distanta (RAT), conceput pentru a fura informatii si a executa comenzi de la distanta, de pe un server controlat de atacatori.
Victimele par sa faca parte cu predilectie din sectoarele de tranzactionare si fintech, deoarece indicatorii tehnici sugereaza ca malware-ul a fost, probabil, distribuit prin canale Telegram axate pe aceste subiecte. Campania a fost globala, Kaspersky identificand victime in peste 20 de tari din Europa, Asia, America Latina si Orientul Mijlociu.
Analiza lantului de infectare dezvaluie ca atacatorii atasau, cel mai probabil, arhive la postarile de pe canalele Telegram. Arhivele in sine, cum ar fi fisierele RAR sau ZIP, nu erau nocive, dar contineau fisiere daunatoare cu extensii precum .LNK, .com si .cmd. Daca potentialele victime lansau acest tip de fisiere, ele duceau la instalarea malware-ului DarkMe, printr-o serie de actiuni.
Pe langa utilizarea Telegram pentru livrarea de malware, atacatorii si-au imbunatatit securitatea operationala si curatarea post-compromis. Dupa instalare, malware-ul elimina fisierele folosite pentru a introduce implantul DarkMe. Pentru a impiedica si mai mult analiza si a evita detectarea, atacatorii au crescut dimensiunea fisierului implantului si au sters alte amprente, cum ar fi fisierele post-exploatare, instrumentele si cheile de inregistrare, dupa ce si-au atins obiectivul.
Deathstalker, cunoscut anterior ca Deceptikons, este un grup de atacatori activ cel putin din 2018 si, potential, din 2012. Se crede ca este un grup de infractori cibernetici sau de hackeri, care pare sa aiba membri competenti care dezvolta seturi de instrumente proprii si inteleg ecosistemul avansat de amenintari persistente. Scopul principal al grupului este colectarea de informatii personale, financiare si private, eventual in scopuri competitive sau de business intelligence, pentru a-si servi clientela. Vizeaza de obicei companiile mici si mijlocii, financiare, fintech, firme de avocatura si, in unele cazuri, entitati guvernamentale. In ciuda faptului ca a urmarit aceste tipuri de tinte, DeathStalker nu a fost niciodata observat furand fonduri, motiv pentru care Kaspersky crede ca este o agentie privata de informatii.
De asemenea, grupul are o tendinta interesanta de a incerca sa evite atribuirea activitatilor lor, mimand alti actori APT si incorporand steaguri false.
Pentru securitatea personala, Kaspersky recomanda urmatoarele masuri:
Instalati o solutie de securitate de incredere si urmati recomandarile acesteia. Apoi solutiile securizate vor rezolva automat majoritatea problemelor si va vor alerta daca este necesar.
Informati-va cu privire la noile tehnici de atac cibernetic. Asta va poate ajuta sa le recunoasteti si sa le evitati. Blogurile de securitate va vor ajuta sa ramaneti la curent cu noile amenintari.
Pentru a se proteja impotriva amenintarilor avansate, expertii in securitate Kaspersky recomanda organizatiilor:
Sa ofere profesionistilor InfoSec o vizibilitate extinsa asupra amenintarilor cibernetice care vizeaza organizatia. Cea mai recenta versiune Kaspersky Threat Intelligence le va oferi un context bogat si semnificativ de-a lungul intregului ciclu de gestionare a incidentelor si va ajuta la identificarea riscurilor cibernetice la timp.
Sa investeasca in cursuri suplimentare de securitate cibernetica pentru personal, pentru a-i tine la curent cu cele mai recente cunostinte. Cu pregatirea Kaspersky Expert orientata practic, profesionistii InfoSec isi pot avansa abilitatile si isi pot apara companiile impotriva atacurilor sofisticate. Puteti alege cel mai potrivit format si puteti urma fie cursuri online, auto-ghidate, fie cursuri live conduse de formatori.
Pentru a proteja compania impotriva unei game largi de amenintari, este recomandata utilizarea solutiilor din gama de produse Kaspersky Next care ofera protectie in timp real, vizibilitate asupra amenintarilor, investigare si capabilitati de raspuns EDR si XDR, pentru organizatii de orice dimensiune si industrie. In functie de nevoile actuale ale companiei si de resursele disponibile, poate fi ales cel mai relevant nivel de produs si se poate migra cu usurinta la altul daca cerintele de securitate cibernetica ale companiei se schimba.
comunicat