Una nueva campaña maliciosa utiliza Telegram para distribuir el malware DarkMe

  • Actualidad
Telegram

Dirigido a individuos y empresas en las industrias de fintech y comercio, el malware está diseñado para robar datos sensibles, como contraseñas, y tomar control de los dispositivos de los usuarios para fines de espionaje. Kaspersky ha identificado víctimas en más de 20 países.

El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha descubierto una campaña maliciosa global en la que los atacantes utilizaron Telegram para distribuir spyware tipo troyano, posiblemente dirigido a individuos y empresas en las industrias de fintech y comercio, para robar datos sensibles, como contraseñas, y tomar control de los dispositivos de los usuarios para fines de espionaje. Kaspersky ha identificado víctimas en más de 20 países en Europa, Asia, América Latina y Oriente Medio.

Se cree que la campaña está vinculada a DeathStalker, un notorio actor APT (Amenaza Persistente Avanzada) de tipo hacker por contrato, que ofrece servicios especializados de hacking e inteligencia financiera. En la reciente oleada de ataques observada por Kaspersky, los actores maliciosos intentaron infectar a las víctimas con el malware DarkMe, un troyano de acceso remoto (RAT), diseñado para robar información y ejecutar comandos remotos desde un servidor controlado por los ciberdelincuentes.

El análisis de la cadena de infección revela que los atacantes probablemente adjuntaban archivos maliciosos, contenidos a su vez en archivos comprimidos que se compartían en publicaciones realizadas en canales de Telegram. Los archivos comprimidos en sí mismos, como RAR o ZIP, no eran maliciosos, pero contenían archivos dañinos con extensiones como .LNK, .com y .cmd. Si las posibles víctimas los ejecutaban, se producía la instalación del malware DarkMe en una serie de pasos.

“En lugar de utilizar métodos tradicionales de phishing, los actores de amenazas recurrieron a canales de Telegram para distribuir el malware. En campañas anteriores, también observamos el uso de otras plataformas de mensajería, como Skype, como vector de infección inicial. Este método puede hacer que las posibles víctimas confíen más en el remitente y abran el archivo malicioso, en comparación con un sitio web de phishing. Además, la descarga de archivos a través de aplicaciones de mensajería puede generar menos advertencias de seguridad que las descargas estándar de Internet, lo cual es favorable para los actores de amenazas”, explica Maher Yamout, investigador principal de seguridad de GReAT. “Si bien aconsejamos precaución con correos electrónicos y enlaces sospechosos, esta campaña destaca la necesidad de ser cauteloso incluso con aplicaciones de mensajería instantánea como Skype y Telegram”.

Además de usar Telegram para la entrega de malware, los atacantes mejoraron su seguridad operativa y limpieza posterior. Después de la instalación, el malware eliminaba los archivos utilizados para desplegar DarkMe. Para dificultar aún más el análisis y tratar de evadir la detección, los perpetradores aumentaron el tamaño del archivo y eliminaron otros rastros, como archivos de post-explotación, herramientas y claves de registro, después de cumplir su objetivo.