Investigadores han descubierto una campaña maliciosa global, que ha afectado a más de 20 países, en la que los atacantes utilizaron canales de la plataforma de comunicación Telegram para distribuir 'spyware' diseñado para robar datos sensibles entre profesionales de las industrias de Finanzas y tecnología (Fintech) y Comercio.
El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha avanzado que se atribuye este ataque a DeathStalker, un actor de amenazas persistentes avanzadas (APT, por sus siglas en inglés) de tipo hacker por contrato, que ofrece servicios especializados de 'hacking' e inteligencia financiera.
Deathstalker antes era conocido como Deceptikons, un grupo de actores de amenazas activo al menos desde 2018, y posiblemente desde 2012. Se cree que es un grupo de cibermercenarios o hackers contratados, en el que el actor de amenazas parece contar con miembros competentes que desarrollan herramientas internas y comprenden el ecosistema de amenazas persistentes avanzadas.
Los expertos en ciberseguridad han advertido que este grupo ha distribuido una campaña dirigida a víctimas en los sectores de Comercio y fintech, ya que los indicadores sugieren que el 'malware' se distribuyó a través de canales de Telegram enfocados a estos temas.
Más concretamente, han identificado víctimas en más de 20 países de Europa, Asia, América Latina y Oriente Medio, a los que estos ciberdelincuentes han dirigido un ataque en el que adjuntaban archivos maliciosos que, en realidad, contenían archivos dañinos con extensiones como -LNK, .com y .cmd.
En caso de ejecutarlo, se producía la instalación del 'software' malicioso DarkMe, un troyano de acceso remoto (RAT), diseñado para robar información y ejecutar comandos remotos desde un servidor controlado por los ciberdelincuentes.
Desde Kaspersky han puntualizado que, en lugar de utilizar métodos tradicionales de 'phishing', los actores de amenazas recurrieron a canales de Telegram para distribuir este 'spyware', aunque en campañas anteriores también observaron el uso de otras plataformas de mensajería, como Skype, como vector de infección inicial.
«Este método puede hacer que las posibles víctimas confíen más en el remitente y abran el archivo malicioso, en comparación con un sitio web de phishing», ha subrayado el investigador principal de seguridad de GReAT, Maher Yamout.
Además de usar Telegram para la entrega de 'malware', los atacantes mejoraron su seguridad operativa y limpieza posterior. De esa forma, después de la instalación, el 'malware' eliminaba los archivos utilizados para desplegar DarkMe.
Asimismo, para dificultar aún más el análisis y tratar de evadir la detección, los perpetradores de la campaña aumentaron el tamaño del archivo y eliminaron otros rastros, como archivos de post-explotación, herramientas y claves de registro.
Desde Kaspersky han subrayado que las empresas deben instalar soluciones de seguridad para mantenerse protegidos ante este tipo de situaciones, así como conocer las nuevas técnicas de ciberataque, para reconocerlas y evitarlas. También es recomendable que las empresas inviertan en cursos adicionales de ciberseguridad para su personal.