A Equipa Global de Investigação e Análise da Kaspersky (GReAT) descobriu uma campanha global maliciosa na qual os atacantes utilizam o Telegram para distribuir um Trojan que contém spyware, potencialmente dirigido a indivíduos e empresas da indústria fintech e do mercado de valores. O malware foi concebido para roubar dados sensíveis, como passwords, e assumir o controlo dos dispositivos dos utilizadores para fins de espionagem.
Acredita-se que a campanha esteja ligada ao DeathStalker, um grupo de cibercriminosos ligados a APT que oferece serviços especializados de hacking e de inteligência financeira. Na recente vaga de ataques observados pela Kaspersky, os atacantes tentaram infectar as vítimas com o malware DarkMe – um trojan de acesso remoto (RAT), concebido para roubar informações e executar comandos remotos a partir de um servidor controlado pelos perpetradores.
Os cibercriminosos por detrás da campanha visam vítimas nos sectores do comércio e das fintech, uma vez que os indicadores técnicos sugerem que o malware foi provavelmente distribuído através de canais Telegram centrados nestes tópicos. A campanha foi global, uma vez que a Kaspersky identificou vítimas em mais de 20 países na Europa, Ásia, América Latina e Médio Oriente.
A análise revela que os atacantes estavam a anexar arquivos maliciosos a mensagens nos canais do Telegram. Os arquivos em si, como os ficheiros RAR ou ZIP, não são ficheiros maliciosos, mas contém ficheiros nocivos com extensões .LNK, .com e .cmd. Se os utilizadores abrirem estes ficheiros, levam à instalação do malware DarkMe.
«Em vez de utilizarem os métodos tradicionais de phishing, os autores das ameaças recorreram aos canais do Telegram para a distribuição o malware. Em campanhas anteriores, também observámos esta operação em plataformas de mensagens, como o Skype, como vector de infecção inicial. Este método pode fazer com que as potenciais vítimas estejam mais inclinadas a confiar no remetente e a abrir o ficheiro malicioso do que a confiar num no website de phishing. Além disso, o download de ficheiros através de aplicações de mensagens pode desencadear menos avisos de segurança em comparação com os downloads normais da Internet, o que é favorável para atacantes», explica Maher Yamout, Investigador Principal de Segurança da GReAT.
«Embora normalmente aconselhemos os utilizadores a estarem vigilantes contra os e-mails e links suspeitos que recebem, esta campanha destaca a necessidade de estarem conscientes ao lidar com aplicações de mensagens instantâneas como o Skype e o Telegram», acrescenta o especialista.
