Глобални истраживачки и аналитички тим компаније Касперски (ГРеАТ) открио је злонамерну глобалну кампању у којој су нападачи користили „Телеграм” за ширење тројанског шпијунског софтвера, потенцијално таргетирајући појединце и компаније у трговини. Малвер је креиран да украде осетљиве податке, као што су лозинке, и преузме контролу над уређајима корисника у сврхе шпијунаже.
Верује се да је кампања повезана са „ДеатхСталкер-ом”, злогласним хакерским АПТ актером који нуди специјализоване услуге хаковања и финансијских информација. У недавном таласу напада које је уочила компанија Касперски, актери претњи су покушали да заразе жртве тројанцем за даљински приступ (РАТ), креираним да краде информације и извршава даљинске команде са сервера који контролишу нападачи. Чини се да су актери претњи који стоје иза кампање таргетирали жртве у сектору трговине, јер технички показатељи кажу да је малвер вероватно дистрибуиран преко Телеграм канала фокусираних на ове теме. Кампања је била глобална, јер је компанија Касперски идентификовала жртве у више од 20 земаља широм Европе, Азије, Латинске Америке и Блиског истока.
Анализа ланца заражавања открива да су нападачи највероватније додавали злонамерне архиве објавама на „Телеграм” каналима.
„Уместо да користе традиционалне методе фишинга, актери претњи су се ослањали на „Телеграм” канале да испоруче малвер. Овај метод може да учини потенцијалне жртве склонијим да верују пошиљаоцу и отворе злонамерну датотеку него у случају са веб-сајтом за фишинг. Поред тога, преузимање датотека путем апликација за размену порука може изазвати мање безбедносних упозорења у поређењу са стандардним преузимањима са интернета, што је повољно за актере претњи”, објашњава Махер Јамут, водећи истраживач безбедности ГРеАТ-а.
„Иако обично саветујемо опрез када су у питању сумњиви имејлови и линкови, ова кампања наглашава потребу за опрезом чак и са апликацијама за тренутне поруке као што су скајп и телеграм”, каже он.
Поред коришћења Телеграма за испоруку малвера, нападачи су побољшали своју оперативну безбедност и уклањање трагове након упада. Да би додатно ометали анализу и покушали да избегну откривање, нападачи су повећали величину убачене датотеке и избрисали друге трагове, као што су датотеке након експлоатације, алати и кључеви регистра, након што су постигли свој циљ.
