Alertas de Seguridad

Kaspersky descubre una campaña maliciosa en Telegram

Dirigida a usuarios de tecnología financiera

[01/11/2024] El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha descubierto una campaña maliciosa global en la que los atacantes utilizaban Telegram para distribuir un troyano espía, potencialmente dirigido a particulares y empresas de los sectores financiero y comercial. El malware está diseñado para robar datos confidenciales, como contraseñas, y tomar el control de los dispositivos de los usuarios con fines de espionaje.

"Se cree que la campaña está vinculada a DeathStalker, un infame actor de APT (Advanced Persistent Threat) de pirateo por encargo que ofrece servicios especializados de pirateo e inteligencia financiera. En la reciente oleada de ataques observada por Kaspersky, los autores de la amenaza intentaron infectar a las víctimas con el malware DarkMe, un troyano de acceso remoto (RAT) diseñado para robar información y ejecutar comandos remotos desde un servidor controlado por los autores, sostuvo Maher Yamout, investigador principal de seguridad de GReAT, en el comunicado de prensa.

El investigador anotó que los autores de la campaña parecen haber atacado a víctimas de los sectores del comercio y las finanzas, ya que los indicadores técnicos sugieren que el malware se distribuyó probablemente a través de canales de Telegram centrados en estos temas. La campaña fue global, ya que Kaspersky ha identificado víctimas en más de 20 países de Europa, Asia, América Latina y Oriente Medio.

"El análisis de la cadena de infección revela que lo más probable es que los atacantes adjuntaran archivos maliciosos a las publicaciones de los canales de Telegram.  Los archivos en sí, como archivos RAR o ZIP, no eran maliciosos, pero contenían archivos dañinos con extensiones como .LNK, .com y .cmd. Si las víctimas potenciales ejecutaban estos archivos, conducían a la instalación del malware de fase final, DarkMe, en una serie de acciones, explicó Yamout.

Añadió que, en lugar de utilizar los métodos tradicionales de phishing, los autores de las amenazas recurrieron a los canales de Telegram para distribuir el malware. "En campañas anteriores, también observamos que esta operación utilizaba otras plataformas de mensajería, como Skype, como vector de infección inicial. Este método puede hacer que las víctimas potenciales confíen más en el remitente y abran el archivo malicioso que en el caso de un sitio web de phishing. Además, la descarga de archivos a través de aplicaciones de mensajería puede activar menos advertencias de seguridad en comparación con las descargas estándar de Internet, lo que favorece a los actores de la amenaza», explica Maher Yamout, investigador principal de seguridad de GReAT. «Aunque normalmente aconsejamos estar alerta ante correos electrónicos y enlaces sospechosos, esta campaña pone de relieve la necesidad de ser precavidos incluso con apps de mensajería instantánea como Skype y Telegram.

Además de utilizar Telegram para la entrega del malware, Yamout comentó que los atacantes mejoraron su seguridad operativa y la limpieza posterior al compromiso. "Tras la instalación, el malware eliminó los archivos utilizados para desplegar el implante DarkMe. Para dificultar aún más el análisis y tratar de eludir la detección, los autores aumentaron el tamaño del archivo del implante y eliminaron otras huellas, como archivos, herramientas y claves de registro posteriores a la explotación, después de lograr su objetivo.

Deathstalker, anteriormente conocido como Deceptikons, es un grupo de actores de amenazas activo desde al menos el 2018, y potencialmente desde el 2012. "Se cree que es un grupo de cibermercenarios o hackers a sueldo en el que el actor de amenazas parece tener miembros competentes que desarrollan conjuntos de herramientas internas, y entienden el ecosistema de amenazas persistentes avanzadas. El objetivo principal del grupo es recopilar información empresarial, financiera y personal privada, posiblemente con fines competitivos o de inteligencia empresarial al servicio de su clientela. Normalmente se dirigen a pequeñas y medianas empresas, entidades financieras, empresas de tecnología financiera, bufetes de abogados y, en algunas ocasiones, entidades gubernamentales. A pesar de ir tras este tipo de objetivos, nunca se ha observado a DeathStalker robando fondos, por lo que Kaspersky cree que se trata de una organización de inteligencia privada, señaló Yamout.

Finalizó indicando que el grupo también tiene una interesante tendencia a intentar evitar la atribución de sus actividades imitando a otros actores APT e incorporando falsas banderas.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »