Il Global Research and Analysis team (GReAT) di Kaspersky ha scoperto una campagna globale dannosa in cui gli aggressori hanno utilizzato Telegram per distribuire spyware Trojan, potenzialmente destinati a individui e aziende dei settori fintech e trading
Questa campagna sembra essere collegata a DeathStalker, un noto attore APT (Advanced Persistent Threat) che offre servizi specializzati di hacking e intelligence finanziaria. Nella recente serie di attacchi osservati da Kaspersky, gli autori delle minacce hanno provato a infettare le vittime con il malware DarkMe, un remote access Trojan (RAT), progettato per rubare informazioni ed eseguire comandi remoti da un server controllato dai criminali.
Gli attori della campagna sembrano aver preso di mira le vittime nei settori del trading e del fintech, dal momento che gli esami tecnici suggeriscono che il malware sia stato probabilmente distribuito tramite canali Telegram specializzati su questi argomenti. La campagna è stata globale: Kaspersky ha identificato vittime in più di 20 Paesi in Europa, Asia, America Latina e Medio Oriente.
L’analisi della catena di infezione rivela che gli aggressori stavano molto probabilmente allegando file dannosi ai messaggi nei canali Telegram. Gli allegati originali, come i file RAR o ZIP, non erano dannosi, ma contenevano file dannosi con estensioni come .LNK, .com e .cmd. Se le potenziali vittime lanciano questi file, ciò porta all’installazione del malware al livello finale, DarkMe, in una serie di applicazioni.
“Invece di utilizzare i tradizionali metodi di phishing, gli attori delle minacce si sono affidati ai canali di Telegram per distribuire il malware. In campagne precedenti, abbiamo osservato questa operazione anche attraverso altre piattaforme di messaggistica, ad esempio Skype, come vettore per l’infezione iniziale. Questo metodo può rendere le potenziali vittime più inclini a fidarsi del mittente e ad aprire il file dannoso rispetto al caso di un sito web di phishing. Inoltre, il download di file attraverso le app di messaggistica può far scattare meno avvisi di sicurezza rispetto ai download standard su Internet, il che è favorevole agli attori delle minacce”, spiega Maher Yamout, Lead Security Researcher di GReAT. “Sebbene di solito consigliamo di fare attenzione a e-mail e link sospetti, questa campagna evidenzia la necessità di essere cauti anche quando si tratta di app di messaggistica istantanea come Skype e Telegram”.
Oltre a utilizzare Telegram per la distribuzione del malware, gli aggressori hanno migliorato la sicurezza operativa e la pulizia post-compromissione. Dopo l’installazione, il malware ha rimosso i file utilizzati per distribuire DarkMe. Per ostacolare ulteriormente l’analisi e cercare di eludere il rilevamento, gli autori hanno aumentato le dimensioni del file di installazione e hanno eliminato altre tracce, come i file, gli strumenti e le chiavi di registro post-exploitation, dopo aver raggiunto il loro obiettivo.
- Investite in ulteriori corsi di cybersecurity per il personale al fine di tenerlo aggiornato con le ultime novità. Con la formazione Kaspersky Expert orientata alla pratica, i professionisti InfoSec possono migliorare le proprie competenze e difendere le aziende da attacchi complessi. È possibile scegliere il format più adatto e seguirecorsi online autoguidati o corsi dal vivo tenuti da un formatore.
- Per proteggere l’azienda da un’ampia gamma di minacce, è possibile utilizzare le soluzioni Kaspersky Next, che offrono protezione in tempo reale, visibilità delle minacce, funzionalità di analisi e risposta EDR e XDR, per organizzazioni di qualsiasi dimensione e settore. In base alle esigenze attuali e alle risorse disponibili, è possibile scegliere il livello di prodotto più adatto e migrare facilmente a un altro se le esigenze di cybersecurity cambiano.