Ils utilisent les canaux Telegram pour distribuer des « logiciels espions » conçus pour voler des données parmi les employés de la « fintech »

MADRID, 20 déc. (Portail/EP) –

Les chercheurs ont découvert une campagne malveillante mondiale, affectant plus de 20 pays, dans laquelle les attaquants Ils ont utilisé les canaux de la plateforme de communication Telegram pour distribuer des « logiciels espions » conçus pour voler des données sensibles parmi les professionnels des secteurs de la finance, de la technologie (« fintechf ») et du commerce.

L’équipe mondiale de recherche et d’analyse de Kaspersky (GReAT) a avancé que cette attaque était attribuée à Traqueur de la mortun acteur de type menace persistante avancée (APT). hacker à louer, qui propose des services spécialisés de piratage informatique et de renseignement financier.

Deathstalker était autrefois connu sous le nom de Deceptikons, un groupe d’acteurs menaçants actifs depuis au moins 2018, et peut-être depuis 2012. Il s’agirait d’un groupe de cybermercenaires ou de pirates informatiques embauchés, l’acteur menaçant semblant avoir des membres compétents qui développent des outils internes. et comprendre l’écosystème avancé des menaces persistantes.

Les experts en cybersécurité ont prévenu que ce groupe avait diffusé une campagne ciblant les victimes des secteurs du commerce et de la fintech, car des indicateurs suggèrent que le « malware » a été distribué via les canaux Telegram axés sur ces sujets.

Plus précisément, ils ont identifié des victimes dans plus de 20 pays d’Europe, d’Asie, d’Amérique latine et du Moyen-Orient, vers lesquelles ces cybercriminels ont dirigé une attaque dans laquelle ils ont joint des fichiers malveillants qui, en réalité, Ils contenaient des fichiers nuisibles avec des extensions telles que -LNK, .com et .cmd.

S’il était exécuté, le « logiciel » malveillant DarkMe était installé, un cheval de Troie d’accès à distance (RAT), conçu pour voler des informations et exécuter des commandes à distance à partir d’un serveur contrôlé par des cybercriminels.

Kaspersky a souligné qu’au lieu d’utiliser les méthodes traditionnelles de « phishing », les auteurs de la menace se sont tournés vers les canaux Telegram pour distribuer ce « logiciel espion », même si lors de campagnes précédentes, ils ont également observé l’utilisation d’autres plateformes de messagerie, telles que Skype, comme vecteur. de l’infection initiale.

“Cette méthode peut inciter les victimes potentielles à faire davantage confiance à l’expéditeur et à ouvrir le fichier malveillant, par rapport à un site Web de phishing”, a déclaré Maher Yamout, chercheur principal en sécurité au GReAT.

En plus d’utiliser Telegram pour diffuser des logiciels malveillants, les attaquants ont amélioré leur sécurité opérationnelle et leur nettoyage ultérieur. De cette façon, après l’installation, le « malware » supprimé les fichiers utilisés pour déployer DarkMe.

De plus, pour rendre l’analyse encore plus difficile et tenter d’échapper à la détection, les auteurs de la campagne ont augmenté la taille des fichiers et supprimé d’autres traces, telles que des fichiers post-exploitation, des outils et des clés de registre.

Kaspersky a souligné que les entreprises doivent installer des solutions de sécurité pour restez protégé dans ce type de situationsainsi que connaître les nouvelles techniques de cyberattaques, pour les reconnaître et les éviter. Il est également recommandé aux entreprises d’investir dans des cours supplémentaires sur la cybersécurité pour leur personnel.