Una nueva campaña maliciosa aprovecha Telegram para atacar a usuarios fintech
El equipo de Investigación y Análisis Global de Kaspersky, GReAT, ha descubierto una campaña maliciosa global en la que los atacantes utilizaron Telegram para distribuir spyware tipo troyano.
Posiblemente dirigido a individuos y empresas en las industrias de fintech y comercio, el malware está diseñado para robar datos sensibles, como contraseñas, y tomar control de los dispositivos de los usuarios para fines de espionaje.
Se cree que la campaña está vinculada a DeathStalker, un notorio actor APT (Amenaza Persistente Avanzada) de tipo hacker por contrato, que ofrece servicios especializados de hacking e inteligencia financiera. En la reciente oleada de ataques observada por Kaspersky, los actores maliciosos intentaron infectar a las víctimas con el malware DarkMe, un troyano de acceso remoto (RAT), diseñado para robar información y ejecutar comandos remotos desde un servidor controlado por los ciberdelincuentes.
La campaña parece estar dirigida a víctimas en los sectores de comercio y fintech, ya que los indicadores técnicos sugieren que el malware probablemente se distribuyó a través de canales de Telegram enfocados en estos temas. La campaña fue global: Kaspersky ha identificado víctimas en más de 20 países en Europa, Asia, América Latina y Oriente Medio.
El análisis de la cadena de infección revela que los atacantes probablemente adjuntaban archivos maliciosos, contenidos a su vez en archivos comprimidos que se compartían en publicaciones realizadas en canales de Telegram. Los archivos comprimidos en sí mismos, como RAR o ZIP, no eran maliciosos, pero contenían archivos dañinos con extensiones como .LNK, .com y .cmd. Si las posibles víctimas los ejecutaban, se producía la instalación del malware DarkMe en una serie de pasos.
“En lugar de utilizar métodos tradicionales de phishing, los actores de amenazas recurrieron a canales de Telegram para distribuir el malware. En campañas anteriores, también observamos el uso de otras plataformas de mensajería, como Skype, como vector de infección inicial. Este método puede hacer que las posibles víctimas confíen más en el remitente y abran el archivo malicioso, en comparación con un sitio web de phishing. Además, la descarga de archivos a través de aplicaciones de mensajería puede generar menos advertencias de seguridad que las descargas estándar de Internet, lo cual es favorable para los actores de amenazas”, explica Maher Yamout, investigador principal de seguridad de GReAT. “Si bien generalmente aconsejamos precaución con correos electrónicos y enlaces sospechosos, esta campaña destaca la necesidad de ser cauteloso incluso con aplicaciones de mensajería instantánea como Skype y Telegram”.
Además de usar Telegram para la entrega de malware, los atacantes mejoraron su seguridad operativa y limpieza posterior. Después de la instalación, el malware eliminaba los archivos utilizados para desplegar DarkMe. Para dificultar aún más el análisis y tratar de evadir la detección, los perpetradores aumentaron el tamaño del archivo y eliminaron otros rastros, como archivos de post-explotación, herramientas y claves de registro, después de cumplir su objetivo.
Deathstalker, anteriormente conocido como Deceptikons, es un grupo de actores de amenazas activo al menos desde 2018, y posiblemente desde 2012. Se cree que es un grupo de ciber-mercenarios o hackers contratados, en el que el actor de amenazas parece contar con miembros competentes que desarrollan herramientas internas y comprenden el ecosistema de amenazas persistentes avanzadas. El objetivo principal del grupo es recopilar información de negocios, financiera y personal privada, posiblemente con fines de inteligencia competitiva o de negocios al servicio de sus clientes. Suelen dirigirse a pequeñas y medianas empresas, empresas financieras, fintech, firmas legales y, en algunas ocasiones, entidades gubernamentales. A pesar de ello, nunca se ha observado que DeathStalker robe fondos, por lo cual Kaspersky cree que se trata de una organización de inteligencia privada.
El grupo también tiene una tendencia interesante a intentar evitar la atribución de sus actividades, imitando a otros actores de APT.