Kaspersky: nuova campagna malevola di Telegram che prende di mira gli utenti del settore fintech
Il malware DeathStalker è progettato per rubare dati sensibili, come le password, e prendere il controllo dei dispositivi degli utenti a scopo di spionaggio.
Autore: Redazione BitCity
Il Global Research and Analysis team (GReAT) di Kaspersky ha scoperto una campagna globale dannosa in cui gli aggressori hanno utilizzato Telegram per distribuire spyware Trojan, potenzialmente destinati a individui e aziende dei settori fintech e trading.
Questa campagna sembra essere collegata a DeathStalker, un noto attore APT (Advanced Persistent Threat) che offre servizi specializzati di hacking e intelligence finanziaria. Nella recente serie di attacchi osservati da Kaspersky, gli autori delle minacce hanno provato a infettare le vittime con il malware DarkMe, un remote access Trojan (RAT), progettato per rubare informazioni ed eseguire comandi remoti da un server controllato dai criminali.
Gli attori della campagna sembrano aver preso di mira le vittime nei settori del trading e del fintech, dal momento che gli esami tecnici suggeriscono che il malware sia stato probabilmente distribuito tramite canali Telegram specializzati su questi argomenti. La campagna è stata globale: Kaspersky ha identificato vittime in più di 20 Paesi in Europa, Asia, America Latina e Medio Oriente.
L'analisi della catena di infezione rivela che gli aggressori stavano molto probabilmente allegando file dannosi ai messaggi nei canali Telegram. Gli allegati originali, come i file RAR o ZIP, non erano dannosi, ma contenevano file dannosi con estensioni come .LNK, .com e .cmd. Se le potenziali vittime lanciano questi file, ciò porta all'installazione del malware al livello finale, DarkMe, in una serie di applicazioni.
“Invece di utilizzare i tradizionali metodi di phishing, gli attori delle minacce si sono affidati ai canali di Telegram per distribuire il malware. In campagne precedenti, abbiamo osservato questa operazione anche attraverso altre piattaforme di messaggistica, ad esempio Skype, come vettore per l'infezione iniziale. Questo metodo può rendere le potenziali vittime più inclini a fidarsi del mittente e ad aprire il file dannoso rispetto al caso di un sito web di phishing. Inoltre, il download di file attraverso le app di messaggistica può far scattare meno avvisi di sicurezza rispetto ai download standard su Internet, il che è favorevole agli attori delle minacce”, spiega Maher Yamout, Lead Security Researcher di GReAT. “Sebbene di solito consigliamo di fare attenzione a e-mail e link sospetti, questa campagna evidenzia la necessità di essere cauti anche quando si tratta di app di messaggistica istantanea come Skype e Telegram”.
Oltre a utilizzare Telegram per la distribuzione del malware, gli aggressori hanno migliorato la sicurezza operativa e la pulizia post-compromissione. Dopo l'installazione, il malware ha rimosso i file utilizzati per distribuire DarkMe. Per ostacolare ulteriormente l'analisi e cercare di eludere il rilevamento, gli autori hanno aumentato le dimensioni del file di installazione e hanno eliminato altre tracce, come i file, gli strumenti e le chiavi di registro post-exploitation, dopo aver raggiunto il loro obiettivo.
Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.