5 Ноя 2024 10:42
Количество просмотров: 467

Ловля на живца: злоумышленники распространяют троянец через финансовые каналы в Telegram

Зловред позволяет осуществлять шпионаж и красть конфиденциальные данные.

Эксперты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» обнаружили вредоносную кампанию, направленную на пользователей и компании сферы финансов и трейдинга.

Злоумышленники распространяют через тематические Telegram-каналы троянца, который позволяет получать удаленный доступ к устройству в целях шпионажа и красть данные. Атаки зафиксированы более чем в 20 странах, в том числе в Казахстане.

Основной вектор заражения. Злоумышленники прикрепляют к постам в Telegram архивы с вредоносными файлами внутри (с расширениями типа .lnk, .com и .cmd). Если пользователь откроет эти файлы, на устройство загрузится вредоносное ПО — троянец DarkMe, позволяющий удаленно выполнять команды с сервера злоумышленников и красть данные.

Атакующие постарались тщательно скрыть следы заражения. Например, после установки вредоносное ПО удаляет файлы, которые использовались для доставки импланта DarkMe. А также они увеличили размер файла импланта, чтобы усложнить атрибуцию и сбить детекты. Это осуществляется за счет добавления в файл мусорных строк и кода. Злоумышленники скрыли и другие следы: после выполнения своих задач они удаляли использовавшиеся в фазе постэксплуатации файлы, инструменты и ключи реестра, чтобы затруднить обнаружение и расследование инцидента.

Кто стоит за атаками. Кампания, судя по всему, связана с группой DeathStalker (ранее Deceptikons). Она действует минимум с 2018 года, а по некоторым данным, — с 2012-го. Злоумышленники работают как «кибернаемники», то есть оказывают хакерские услуги и занимаются финансовой разведкой: собирают различную коммерческую, финансовую и личную информацию, например, в пользу конкурентов. В основном группа атакует малый и средний бизнес, финтех-компании, финансовые и юридические организации. Судя по атакам, в состав DeathStalker входят злоумышленники, способные разрабатывать собственные инструменты и хорошо понимающие ландшафт киберугроз.

«Вместо традиционных фишинговых методов атакующие использовали для распространения вредоносного ПО Telegram-каналы. Причем в более ранних кампаниях они заражали устройства и через другие платформы для общения, например, Skype. Мессенджер может вызывать у потенциальных жертв больше доверия, чем фишинговый сайт. Кроме того, загрузка файлов из таких приложений может показаться менее опасной, чем скачивание из интернета, — объясняет Татьяна Шишкова, ведущий эксперт Kaspersky GReAT. — Обычно мы рекомендуем осторожно относиться к различным электронным письмам и ссылкам, но эта кампания показала, что важно быть бдительными и при использовании других ресурсов, в том числе приложений для общения вроде Skype и Telegram».

Чтобы защититься от онлайн-угроз, «Лаборатория Касперского» рекомендует пользователям:

* установить защитное решение от надежного поставщика, такое как Kaspersky Premium. Приложение предупредит о попытке перейти на подозрительный ресурс или скачать потенциально опасный файл. Эффективность решений «Лаборатории Касперского» подтверждается независимыми тестами;

* повышать уровень киберграмотности, чтобы уметь противостоять различным угрозам. Например, читать блоги компаний, специализирующихся на информационной безопасности.

Компаниям:

* предоставлять ИБ-специалистам доступ к свежей информации о киберугрозах, например, с помощью сервисов Threat Intelligence, чтобы помочь оперативно выявлять и устранять киберугрозы для организации;

* регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, например, с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского»;

* использовать комплексные линейки решений, такие как Kaspersky Symphony. Продукты, входящие в ее состав, обеспечивают защиту в режиме реального времени и подойдут для компаний разных размеров и отраслей.

 

 

 

 

В нашем Telegram-канале  много интересного, важные и новые события. Наш Instagram. Подписывайтесь!

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *