Специалисты рассказали о рассылке троянов пользователям Telegram. Как это происходит?

Специалисты в области информационной безопасности рассказали о вредоносной кампании, направленной на пользователей и компании из сферы финансов и трейдинга. Так, злоумышленники распространяют через тематические Telegram-каналы троянца, который позволяет получать удаленный доступ к устройству. Атаки зафиксированы более чем в 20 странах, в том числе в Беларуси.

С помощь вредоносного ПО хакеры в теории могут получить удаленный доступ к устройству в целях шпионажа и красть данные. Для заражения к постам в Telegram прикрепляют архивы с вредоносными файлами внутри (с расширениями .lnk, .com и .cmd), рассказали в «Лаборатории Касперского».

Если пользователь откроет эти файлы, на устройство загружается троян DarkMe, с помощью которого можно выполнять команды с удаленного сервера и похищать информацию. Атакующие тщательно скрывают следы заражения: после установки вредоносное ПО удаляет файлы, которые использовались для передачи импланта DarkMe на устройство.

Предполагается, что кампания связана с группой DeathStalker (ранее — Deceptikons), которая действует минимум с 2018 года, по некоторым данным — с 2012. Она предоставляет услуги «кибернаемничества», оказывая хакерские услуги и проводя финансовую разведку.

Обычно группа атакует малый и средний бизнес, финтех-компании, финансовые и юридические организации. Судя по атакам, в состав DeathStalker входят квалифицированные злоумышленники, способные разрабатывать собственные инструменты и хорошо понимающие ландшафт киберугроз.

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро