Παγκόσμια εκστρατεία κατασκοπείας χρηστών Fintech εντοπίζει η Kaspersky και η ομάδα Παγκόσμιας Έρευνας και Ανάλυσης (GReAT). Η εταιρεία κυβερνοασφάλειας αποκάλυψε μια διεθνή κακόβουλη εκστρατεία με όχημα το Telegram, η οποία στοχοποιεί χρήστες fintech και trading, σκοπεύοντας να κλέψει ευαίσθητες πληροφορίες.

Οι επιτιθέμενοι διακινούν το Trojan DarkMe, ένα επικίνδυνο λογισμικό απομακρυσμένης πρόσβασης, που μπορεί να υποκλέπτει δεδομένα, όπως κωδικούς πρόσβασης και να εκτελεί εντολές από απομακρυσμένους διακομιστές. Η εκστρατεία αποδίδεται στην ομάδα κυβερνοεγκληματιών DeathStalker, η οποία ειδικεύεται σε κακόβουλες ενέργειες ενοικίασης. Σύμφωνα με την Kaspersky, η DeathStalker στοχεύει μεσαίες και μικρές επιχειρήσεις σε πάνω από 20 χώρες στην Ευρώπη, την Ασία, τη Λατινική Αμερική και τη Μέση Ανατολή.

Η Kaspersky αποκαλύπτει παγκόσμια κακόβουλη εκστρατεία στο Telegram με στόχο χρήστες fintech

Αντί για κλασικό phishing, οι επιτιθέμενοι χρησιμοποιούν αρχεία τύπου RAR ή ZIP, που διακινούνται μέσω καναλιών στο Telegram, επιτρέποντας στους δράστες να διατηρούν χαμηλό προφίλ, καθώς το αρχείο γίνεται λιγότερο ανιχνεύσιμο σε σύγκριση με παραδοσιακές μεθόδους. Μετά την επιτυχή εγκατάσταση, οι δράστες διαγράφουν ίχνη για να μην εντοπίζονται εύκολα.

Η DeathStalker χρησιμοποιεί, συχνά, τεχνικές, που επιτρέπουν να αποδίδουν τις δραστηριότητές τους σε άλλους φορείς. Οι χρήστες προειδοποιούνται να επιδεικνύουν προσοχή, όχι μόνο σε emails, αλλά και στα αρχεία που κατεβάζουν από εφαρμογές ανταλλαγής μηνυμάτων, με την Kaspersky να συστήνει την εγκατάσταση λογισμικού ασφαλείας και ενημερώσεις σε τακτική βάση.

Πώς δρουν

Στο πρόσφατο κύμα επιθέσεων που παρατήρησε η Kaspersky, οι κυβερνοεγκληματίες επιχείρησαν να μολύνουν τα θύματα με το κακόβουλο λογισμικό DarkMe - ένα Trojan απομακρυσμένης πρόσβασης (RAT), σχεδιασμένο να κλέβει πληροφορίες και να εκτελεί απομακρυσμένες εντολές από έναν server, που ελέγχεται από τους δράστες.

Η ανάλυση της αλληλουχίας της μόλυνσης αποκαλύπτει ότι οι επιτιθέμενοι πιθανότατα επισύναπταν κακόβουλα αρχεία σε αναρτήσεις σε κανάλια του Telegram. Τα ίδια τα αρχεία, όπως RAR ή ZIP, δεν ήταν κακόβουλα, αλλά περιείχαν βλαβερά αρχεία με επεκτάσεις, όπως .LNK, .com και .cmd. Εάν τα εν δυνάμει θύματα εκκινούσαν αυτά τα αρχεία, αυτό οδηγούσε στην εγκατάσταση του τελικού κακόβουλου λογισμικού DarkMe, μέσω μιας σειράς ενεργειών.

“Αντί για παραδοσιακές μεθόδους phishing, οι επιτήδειοι βασίστηκαν σε κανάλια του Telegram για να διανείμουν το κακόβουλο λογισμικό. Σε προηγούμενες εκστρατείες, παρατηρήσαμε την ίδια τακτική να χρησιμοποιεί και άλλες πλατφόρμες για μηνύματα, όπως το Skype, ως μέσα για την αρχική μόλυνση. Αυτή η μέθοδος μπορεί να καταστήσει τα πιθανά θύματα πιο επιρρεπή στο να εμπιστευτούν τον αποστολέα και να ανοίξουν το κακόβουλο αρχείο, σε σύγκριση με έναν ιστότοπο phishing. Η λήψη αρχείων μέσω εφαρμογών messaging μπορεί, επίσης, να παράγει λιγότερες προειδοποιήσεις ασφαλείας σε σύγκριση με τις τυπικές λήψεις από το διαδίκτυο, κάτι που ευνοεί τους επιτήδειους”, αναφέρει η εταιρεία κυβερνοασφάλειας.