Il Global Research and Analysis team (GReAT) di Kaspersky ha scoperto una campagna globale dannosa in cui gli aggressori hanno utilizzato Telegram per distribuire spyware Trojan, potenzialmente destinati a individui e aziende dei settori fintech e trading. Il malware è progettato per rubare dati sensibili, come le password, e prendere il controllo dei dispositivi degli utenti a scopo di spionaggio.
Questa campagna sembra essere collegata a DeathStalker, un noto attore APT (Advanced Persistent Threat) che offre servizi specializzati di hacking e intelligence finanziaria. Nella recente serie di attacchi osservati da Kaspersky, gli autori delle minacce hanno provato a infettare le vittime con il malware DarkMe, un remote access Trojan (RAT), progettato per rubare informazioni ed eseguire comandi remoti da un server controllato dai criminali.
Gli attori della campagna sembrano aver preso di mira le vittime nei settori del trading e del fintech, dal momento che gli esami tecnici suggeriscono che il malware sia stato probabilmente distribuito tramite canali Telegram specializzati su questi argomenti. La campagna è stata globale: Kaspersky ha identificato vittime in più di 20 Paesi in Europa, Asia, America Latina e Medio Oriente.
L’analisi della catena di infezione rivela che gli aggressori stavano molto probabilmente allegando file dannosi ai messaggi nei canali Telegram. Gli allegati originali, come i file RAR o ZIP, non erano dannosi, ma contenevano file dannosi con estensioni come .LNK, .com e .cmd. Se le potenziali vittime lanciano questi file, ciò porta all’installazione del malware al livello finale, DarkMe, in una serie di applicazioni.
“Invece di utilizzare i tradizionali metodi di phishing, gli attori delle minacce si sono affidati ai canali di Telegram per distribuire il malware. In campagne precedenti, abbiamo osservato questa operazione anche attraverso altre piattaforme di messaggistica, ad esempio Skype, come vettore per l’infezione iniziale. Questo metodo può rendere le potenziali vittime più inclini a fidarsi del mittente e ad aprire il file dannoso rispetto al caso di un sito web di phishing. Inoltre, il download di file attraverso le app di messaggistica può far scattare meno avvisi di sicurezza rispetto ai download standard su Internet, il che è favorevole agli attori delle minacce”, spiega Maher Yamout, Lead Security Researcher di GReAT. “Sebbene di solito consigliamo di fare attenzione a e-mail e link sospetti, questa campagna evidenzia la necessità di essere cauti anche quando si tratta di app di messaggistica istantanea come Skype e Telegram”.
Oltre a utilizzare Telegram per la distribuzione del malware, gli aggressori hanno migliorato la sicurezza operativa e la pulizia post-compromissione. Dopo l’installazione, il malware ha rimosso i file utilizzati per distribuire DarkMe. Per ostacolare ulteriormente l’analisi e cercare di eludere il rilevamento, gli autori hanno aumentato le dimensioni del file di installazione e hanno eliminato altre tracce, come i file, gli strumenti e le chiavi di registro post-exploitation, dopo aver raggiunto il loro obiettivo.
Deathstalker, precedentemente noto come Deceptikons, è un gruppo di threat actor attivo almeno dal 2018 e probabilmente già dal 2012. Si ritiene che si tratti di un gruppo di cyber-mercenari o di hacker a pagamento in cui l’attore delle minacce sembra avere membri competenti che sviluppano set di strumenti interni e comprendono l’ecosistema delle advanced persistent threat. L’obiettivo principale è la raccolta di informazioni commerciali, finanziarie e personali private, possibilmente a fini concorrenziali o di business intelligence al servizio della propria clientela. In genere prendono di mira piccole e medie imprese, società finanziarie, fintech, studi legali e, in alcune occasioni, enti governativi. Nonostante questo sia il suo obiettivo, DeathStalker non è mai stato sorpreso a rubare fondi, motivo per cui Kaspersky ritiene che si tratti di un’organizzazione di intelligence privata.
Inoltre, il gruppo tende a cercare di evitare l’attribuzione delle proprie attività imitando altri attori APT e incorporando false segnalazioni.
Per la sicurezza personale, Kaspersky raccomanda le seguenti misure:
- Installare una soluzione di sicurezza affidabile e seguirne le istruzioni. Le soluzioni di sicurezza risolveranno automaticamente la maggior parte dei problemi e avviseranno l’utente se necessario.
- Essere informati sulle nuove tecniche di cyberattacco può aiutare a riconoscerle ed evitarle. I blog sulla sicurezza contribuiranno a rimanere al passo con le nuove minacce.
Per proteggersi dalle minacce avanzate, gli esperti di sicurezza Kaspersky consigliano alle aziende di:
- Fornire ai professionisti dell’InfoSec una visibilità approfondita sulle minacce informatiche che colpiscono l’organizzazione. L’ultima Threat Intelligence di Kaspersky fornirà un contesto completo e significativo per l’intero ciclo di gestione degli incidenti e aiuterà a identificare i rischi informatici in tempo.
- Investite in ulteriori corsi di cybersecurity per il personale al fine di tenerlo aggiornato con le ultime novità. Con la formazione Kaspersky Expert orientata alla pratica, i professionisti InfoSec possono migliorare le proprie competenze e difendere le aziende da attacchi complessi. È possibile scegliere il format più adatto e seguire corsi online autoguidati o corsi dal vivo tenuti da un formatore.
- Per proteggere l’azienda da un’ampia gamma di minacce, è possibile utilizzare le soluzioni Kaspersky Next, che offrono protezione in tempo reale, visibilità delle minacce, funzionalità di analisi e risposta EDR e XDR, per organizzazioni di qualsiasi dimensione e settore. In base alle esigenze attuali e alle risorse disponibili, è possibile scegliere il livello di prodotto più adatto e migrare facilmente a un altro se le esigenze di cybersecurity cambiano.