«Лаборатория Касперского»: злоумышленники распространяют троянец через финансовые каналы в Telegram
12-11-2024 15:25:09 | Армения | Новости науки и технологии
Эксперты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» обнаружили вредоносную кампанию, направленную на пользователей и компании из сферы финансов и трейдинга. Злоумышленники распространяют через тематические Telegram-каналы троянца, который позволяет получать удалённый доступ к устройству в целях шпионажа и красть данные. Атаки зафиксированы более чем в 20 странах.
Компания сообщает, что злоумышленники прикрепляют к постам в Telegram архивы с вредоносными файлами внутри (с расширениями типа .lnk, .com и .cmd). Если пользователь откроет эти файлы, на устройство загрузится вредоносное ПО — троянец DarkMe, позволяющий удалённо выполнять команды с сервера злоумышленников и красть данные.
Атакующие постарались тщательно скрыть следы заражения. Например, после установки вредоносное ПО удаляет файлы, которые использовались для доставки импланта DarkMe. Также они увеличили размер файла импланта, чтобы усложнить атрибуцию и сбить детекты. Это осуществляется за счёт добавления в файл мусорных кода и строк. Злоумышленники скрыли и другие следы: после выполнения своих задач они удаляли использовавшиеся в фазе пост-эксплуатации файлы, инструменты и ключи реестра, чтобы затруднить обнаружение и расследование инцидента.
Кампания, судя по всему, связана с группой DeathStalker (ранее Deceptikons). Она действует минимум с 2018 года, по некоторым данным — с 2012. Злоумышленники работают как «кибернаёмники», то есть оказывают хакерские услуги, и занимаются финансовой разведкой: собирают различную коммерческую, финансовую и личную информацию, например в пользу конкурентов. В основном группа атакует малый и средний бизнес, финтех-компании, финансовые и юридические организации. Судя по атакам, в состав DeathStalker входят злоумышленники, способные разрабатывать собственные инструменты, и хорошо понимающие ландшафт киберугроз.
«Вместо традиционных фишинговых методов атакующие использовали для распространения вредоносного ПО Telegram-каналы. Причём в более ранних кампаниях они заражали устройства и через другие платформы для общения, например Skype. Мессенджер может вызывать у потенциальных жертв больше доверия, чем фишинговый сайт. Кроме того, загрузка файлов из таких приложений может показаться менее опасной, чем скачивание из интернета, — объясняет Татьяна Шишкова, ведущий эксперт Kaspersky GReAT. — Обычно мы рекомендуем осторожно относиться к различным электронным письмам и ссылкам, но эта кампания показала, что важно быть бдительными и при использовании других ресурсов, в том числе приложений для общения вроде Skype и Telegram».
О «Лаборатории Касперского»
«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя передовые технологии для защиты конечных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них.
Представительство компании «Лаборатория Касперского» в Армении