Злоумышленники распространяют троянец через финансовые каналы в Telegram

Выявлена вредоносная кампания, направленная на пользователей и компании из сферы финансов и трейдинга, сообщает «Лаборатория Касперского». Злоумышленники распространяют через тематические Telegram-каналы троянца, который позволяет получать удалённый доступ к устройству в целях шпионажа и красть данные. Атаки зафиксированы более чем в 20 странах, в том числе в России. Злоумышленники прикрепляют к постам в Telegram архивы с вредоносными файлами внутри (с расширениями типа .lnk, .com и .cmd). Если пользователь откроет эти файлы, на устройство загрузится вредоносное ПО — троянец DarkMe, позволяющий удалённо выполнять команды с сервера злоумышленников и красть данные. Атакующие постарались тщательно скрыть следы заражения. Например, после установки вредоносное ПО удаляет файлы, которые использовались для доставки импланта DarkMe. Также они увеличили размер файла импланта, чтобы усложнить атрибуцию и сбить детекты. Это осуществляется за счёт добавления в файл мусорных кода и строк.

Злоумышленники скрыли и другие следы: после выполнения своих задач они удаляли использовавшиеся в фазе пост-эксплуатации файлы, инструменты и ключи реестра, чтобы затруднить обнаружение и расследование инцидента. Кампания, судя по всему, связана с группой DeathStalker (ранее Deceptikons). Она действует минимум с 2018 года, по некоторым данным — с 2012. Злоумышленники работают как «кибернаёмники», то есть оказывают хакерские услуги, и занимаются финансовой разведкой: собирают различную коммерческую, финансовую и личную информацию, например, в пользу конкурентов. В основном группа атакует малый и средний бизнес, финтех-компании, финансовые и юридические организации. Судя по атакам, в состав DeathStalker входят злоумышленники, способные разрабатывать собственные инструменты, и хорошо понимающие ландшафт киберугроз.

[email protected]
наверх