Il Global Research and Analysis team (GReAT) di Kaspersky ha scoperto una campagna globale dannosa in cui gli aggressori hanno utilizzato Telegram per distribuire spyware Trojan, potenzialmente destinati a individui e aziende dei settori fintech e trading. Il malware è progettato per rubare dati sensibili, come le password, e prendere il controllo dei dispositivi degli utenti a scopo di spionaggio.
Questa campagna sembra essere collegata a DeathStalker, un noto attore APT (Advanced Persistent Threat) che offre servizi specializzati di hacking e intelligence finanziaria. Nella recente serie di attacchi osservati da Kaspersky, gli autori delle minacce hanno provato a infettare le vittime con il malware DarkMe, un remote access Trojan (RAT), progettato per rubare informazioni ed eseguire comandi remoti da un server controllato dai criminali.
Gli attori della campagna sembrano aver preso di mira le vittime nei settori del trading e del fintech, dal momento che gli esami tecnici suggeriscono che il malware sia stato probabilmente distribuito tramite canali Telegram specializzati su questi argomenti. La campagna è stata globale: Kaspersky ha identificato vittime in più di 20 Paesi in Europa, Asia, America Latina e Medio Oriente.
L'analisi della catena di infezione rivela che gli aggressori stavano molto probabilmente allegando file dannosi ai messaggi nei canali Telegram. Gli allegati originali, come i file RAR o ZIP, non erano dannosi, ma contenevano file dannosi con estensioni come .LNK, .com e .cmd. Se le potenziali vittime lanciano questi file, ciò porta all'installazione del malware al livello finale, DarkMe, in una serie di applicazioni.
“Invece di utilizzare i tradizionali metodi di phishing, gli attori delle minacce si sono affidati ai canali di Telegram per distribuire il malware. In campagne precedenti, abbiamo osservato questa operazione anche attraverso altre piattaforme di messaggistica, ad esempio Skype, come vettore per l'infezione iniziale”, spiega Maher Yamout, lead security researcher di GReAT. “Questo metodo può rendere le potenziali vittime più inclini a fidarsi del mittente e ad aprire il file dannoso rispetto al caso di un sito web di phishing. Inoltre, il download di file attraverso le app di messaggistica può far scattare meno avvisi di sicurezza rispetto ai download standard su Internet, il che è favorevole agli attori delle minacce. Sebbene di solito consigliamo di fare attenzione a e-mail e link sospetti, questa campagna evidenzia la necessità di essere cauti anche quando si tratta di app di messaggistica istantanea come Skype e Telegram”.