В Telegram-каналах, посвященным финансам и трейдингу, распространяется троян, который позволяет получать удаленный доступ к устройству жертвы и похитить данные. Атаки зафиксированы более чем в 20 странах мира, в том числе в России.
Исследователи «Лаборатории Касперского» предупреждают об обнаружении кампании по распространению трояна DarkMe.
Злоумышленники прикрепляют к постам в Telegram архивы с вредоносными файлами (с расширениями типа .lnk, .com и .cmd). Если пользователь открывает такой файл, на устройство загружается малварь, которая позволяет удаленно выполнять команды с сервера злоумышленников и ворует данные.
По словам специалистов, атакующие стараются тщательно скрыть следы атаки. Например, после установки малварь удаляет файлы, которые использовались для доставки DarkMe. Также был увеличен размер файла импланта (за счет добавления в файл мусорных кода и строк), чтобы усложнить атрибуцию и сбить детекты.
Также злоумышленники скрывают и другие следы: после выполнения своих задач они удаляют использовавшиеся во время пост-эксплуатации файлы, инструменты и ключи реестра, чтобы затруднить обнаружение и расследование инцидента.
Исследователи связывают эту кампанию с группировкой DeathStalker (ранее Deceptikons). Эта группа активна как минимум с 2018 года (по некоторым данным — с 2012 года) и работает по найму. То есть злоумышленники оказывают хакерские услуги и занимаются финансовой разведкой: собирают различную коммерческую, финансовую и личную информацию (например, в пользу конкурентов).
В основном эта группа атакует малый и средний бизнес, финтех-компании, финансовые и юридические организации. Предполагается, что в состав DeathStalker входят злоумышленники, способные разрабатывать собственные инструменты, и хорошо понимающие ландшафт киберугроз.
Исследователи «Лаборатории Касперского» предупреждают об обнаружении кампании по распространению трояна DarkMe.
Злоумышленники прикрепляют к постам в Telegram архивы с вредоносными файлами (с расширениями типа .lnk, .com и .cmd). Если пользователь открывает такой файл, на устройство загружается малварь, которая позволяет удаленно выполнять команды с сервера злоумышленников и ворует данные.
По словам специалистов, атакующие стараются тщательно скрыть следы атаки. Например, после установки малварь удаляет файлы, которые использовались для доставки DarkMe. Также был увеличен размер файла импланта (за счет добавления в файл мусорных кода и строк), чтобы усложнить атрибуцию и сбить детекты.
Также злоумышленники скрывают и другие следы: после выполнения своих задач они удаляют использовавшиеся во время пост-эксплуатации файлы, инструменты и ключи реестра, чтобы затруднить обнаружение и расследование инцидента.
Исследователи связывают эту кампанию с группировкой DeathStalker (ранее Deceptikons). Эта группа активна как минимум с 2018 года (по некоторым данным — с 2012 года) и работает по найму. То есть злоумышленники оказывают хакерские услуги и занимаются финансовой разведкой: собирают различную коммерческую, финансовую и личную информацию (например, в пользу конкурентов).
В основном эта группа атакует малый и средний бизнес, финтех-компании, финансовые и юридические организации. Предполагается, что в состав DeathStalker входят злоумышленники, способные разрабатывать собственные инструменты, и хорошо понимающие ландшафт киберугроз.
«Вместо традиционных фишинговых методов атакующие использовали для распространения вредоносного ПО Telegram-каналы. Причем в более ранних кампаниях они заражали устройства и через другие платформы для общения, например Skype. Мессенджер может вызывать у потенциальных жертв больше доверия, чем фишинговый сайт. Кроме того, загрузка файлов из таких приложений может показаться менее опасной, чем скачивание из интернета», — объясняет Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.