За финансистами следят. Злоумышленники проникают через финансовые каналы в Telegram

Эксперты Глобального центра исследований и анализа угроз (GReAT) Kaspersky обнаружили вредоносную кампанию, направленную на пользователей и компании из сферы финансов и трейдинга. Злоумышленники распространяют через тематические Telegram-каналы троянца, который позволяет получать удалённый доступ к устройству в целях шпионажа и красть данные.

Основной способ заражения. Злоумышленники прикрепляют к постам в Telegram архивы с вредоносными файлами внутри (с расширениями типа .lnk, .com и .cmd). Если пользователь откроет эти файлы, на устройство загрузится вредоносное ПО — троянец DarkMe, позволяющий удалённо выполнять команды с сервера злоумышленников и красть данные. Атакующие постарались тщательно скрыть следы заражения.

Например, после установки вредоносное ПО удаляет файлы, которые использовались для того, чтобы имплант DarkMe попал на устройство.

Кто стоит за атаками. Кампания, судя по всему, связана с группой DeathStalker (ранее Deceptikons). Она действует минимум с 2018 года, по некоторым данным — с 2012. Злоумышленники работают как «кибернаёмники», то есть оказывают хакерские услуги, и занимаются финансовой разведкой: собирают различную коммерческую, финансовую и личную информацию, например в пользу конкурентов.

В основном группа атакует малый и средний бизнес, финтех-компании, финансовые и юридические организации. Судя по атакам, в состав DeathStalker входят злоумышленники, способные разрабатывать собственные инструменты, и хорошо понимающие ландшафт киберугроз, сообщили сайту «Белорусы и рынок» в пресс-службе Kaspersky.

«Вместо традиционных фишинговых методов атакующие использовали для распространения вредоносного ПО Telegram-каналы. Причём в более ранних кампаниях они заражали устройства и через другие платформы для общения, например, Skype. Мессенджер может вызывать у потенциальных жертв больше доверия, чем фишинговый сайт. Кроме того, загрузка файлов из таких приложений может показаться менее опасной, чем скачивание из интернета, — объясняет Татьяна Шишкова, ведущий эксперт Kaspersky GReAT. — Обычно мы рекомендуем осторожно относиться к различным электронным письмам и ссылкам, но эта кампания показала, что важно быть бдительными и при использовании других ресурсов, в том числе приложений для общения вроде Skype и Telegram».

Чтобы защититься от онлайн-угроз, Kaspersky рекомендует пользователям:

• установить защитное решение от надёжного поставщика, такое как Kaspersky Premium. Приложение предупредит о попытке перейти на подозрительный ресурс или скачать потенциально опасный файл;
• повышать уровень киберграмотности, чтобы уметь противостоять различным угрозам. Например, читать блоги компаний, специализирующихся на информационной безопасности.

Компаниям:

• предоставлять ИБ-специалистам доступ к свежей информации о киберугрозах, например, с помощью сервисов Threat Intelligence, чтобы помочь оперативно выявлять и устранять киберугрозы для организации;
• регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии.

Читайте нас в: