X

קמפיין ריגול עולמי ממנף את טלגרם כדי למקד למגזרי מסחר ופינטק

קמפיין ריגול עולמי ממנף את טלגרם כדי למקד למגזרי מסחר ופינטק
Friday 01 - 10:35
Zoom

צוות המחקר והניתוח הגלובלי של קספרסקי (GReAT) חשף מסע ריגול עולמי מורכב שבו תוקפים ממנפים את אפליקציית הטלגרם כדי לשתול תוכנת סוס טרויאני, המכוונות לאנשים ועסקים בתחום הטכנולוגיה הפיננסית והמסחר במספר מדינות באירופה, אסיה ואמריקה הלטינית. אמריקה והמזרח התיכון.

 התוכנה הזדונית במסע פרסום זה נועדה לגנוב נתונים רגישים, כגון סיסמאות, ולהשתלט על מכשירי המשתמשים למטרות ריגול, ובכך לאיים על אבטחתם של אנשים ועסקים.

מומחי קספרסקי מאמינים כי הקמפיין מקושר לקבוצת "DeathStalker" המפורסמת, הפעילה בתחום האיומים המתמשכים (APT), שכן היא מתרגלת פריצה בתשלום ומספקת שירותי פריצה מיוחדים ומודיעין פיננסי.

בגל ההתקפות האחרון שנוטר על ידי קספרסקי, מקורות איומים ניסו להדביק את הקורבנות שלהם בתוכנה זדונית של DarkMe. זהו טרויאני גישה מרחוק (RAT) שנועד לגנוב מידע ולבצע פקודות מרחוק משרת הנשלט על ידי תוקפים.

הקמפיין מכוון לקורבנות במגזרי המסחר והטכנולוגיה הפיננסית, שכן אינדיקטורים טכניים מצביעים על כך שהתוכנה הזדונית הופצה דרך ערוצי טלגרם ככל הנראה התמקדה בנושאים אלו. לקמפיין היה מימד עולמי כאשר קספרסקי גילה קורבנות ביותר מ-20 מדינות באירופה, אסיה, אמריקה הלטינית והמזרח התיכון.

פרטי מסע פרסום:

ניתוח שרשרת ההדבקה מגלה כי התוקפים צירפו קבצי ארכיון זדוניים לפוסטים מערוצי טלגרם. קובצי ארכיון אלו, כולל קובצי RAR או ZIP, לא היו זדוניים בפני עצמם, אלא הכילו קבצים זדוניים עם סיומות כגון .lnk, .com ו-. cmd. כאשר קורבנות פוטנציאליים מריצים קבצים אלה, הם מתקינים את תוכנת הזדונית DarkMe, בסדרה של פעולות.

בנוסף לשימוש בטלגרם כדי לשתול את התוכנה הזדונית, התוקפים שיפרו את האבטחה התפעולית ואת שיטות ההסרה לאחר ניצול. לאחר ההתקנה, התוכנה הזדונית מחק את הקבצים ששימשו לפריסת DarkMe.

כדי לעכב עוד יותר את הניתוח והניסיון להתחמק מגילוי, התוקפים הגדילו את גודל קובץ השתל ומחקו ספריות אחרות, כגון קבצים, כלים ומפתחות רישום לאחר פשרה, לאחר שהשיגו את מטרתם.

יש לציין כי קבוצת Deathstalker הייתה ידועה בעבר בשם Deceptikons והייתה מקור איום פעיל לפחות מאז 2018, ואולי מאז 2012. על פי ההערכה היא מורכבת משכירי חרב סייבר או האקרים, כמקור לאיום. נראה שיש חברים מנוסים. הם מפתחים ערכות כלים בתוך הבית ויש להם הבנה של המערכת האקולוגית המתקדמת של איומים מתמשכים. המטרה העיקרית של הקבוצה היא איסוף מידע מסחרי, פיננסי ואישי, אולי למטרות תחרות או בינה עסקית, כדי לשרת את לקוחותיה.

הקבוצה פונה בדרך כלל לחברות קטנות ובינוניות, חברות פיננסיות, חברות פינטק, משרדי עורכי דין ובמקרים מסוימים, גופים ממשלתיים. עם סוגים אלה של מטרות, DeathStalker מעולם לא נצפה גונב כסף, וזו הסיבה שקספרסקי מאמין שזהו ארגון מודיעין פרטי.


קרא עוד