El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha descubierto una campaña maliciosa global en la que los atacantes utilizaron Telegram para distribuir spyware tipo troyano, posiblemente dirigido a individuos y empresas en las industrias de fintech y comercio. El malware está diseñado para robar datos sensibles, como contraseñas, y tomar control de los dispositivos de los usuarios para fines de espionaje.
Se cree que la campaña está vinculada a DeathStalker, un notorio actor APT (Amenaza Persistente Avanzada) de tipo hacker por contrato, que ofrece servicios especializados de hacking e inteligencia financiera. En la reciente oleada de ataques observada por Kaspersky, los actores maliciosos intentaron infectar a las víctimas con el malware DarkMe, un troyano de acceso remoto (RAT), diseñado para robar información y ejecutar comandos remotos desde un servidor controlado por los ciberdelincuentes.
La campaña parece estar dirigida a víctimas en los sectores de comercio y fintech, ya que los indicadores técnicos sugieren que el malware probablemente se distribuyó a través de canales de Telegram enfocados en estos temas. La campaña fue global: Kaspersky ha identificado víctimas en más de 20 países en Europa, Asia, América Latina y Oriente Medio.
El análisis de la cadena de infección revela que los atacantes probablemente adjuntaban archivos maliciosos, contenidos a su vez en archivos comprimidos que se compartían en publicaciones realizadas en canales de Telegram. Los archivos comprimidos en sí mismos, como RAR o ZIP, no eran maliciosos, pero contenían archivos dañinos con extensiones como .LNK, .com y .cmd. Si las posibles víctimas los ejecutaban, se producía la instalación del malware DarkMe en una serie de pasos.
“En lugar de utilizar métodos tradicionales de phishing, los actores de amenazas recurrieron a canales de Telegram para distribuir el malware. En campañas anteriores, también observamos el uso de otras plataformas de mensajería, como Skype, como vector de infección inicial. Este método puede hacer que las posibles víctimas confíen más en el remitente y abran el archivo malicioso, en comparación con un sitio web de phishing. Además, la descarga de archivos a través de aplicaciones de mensajería puede generar menos advertencias de seguridad que las descargas estándar de Internet, lo cual es favorable para los actores de amenazas”, explica Maher Yamout, investigador principal de seguridad de GReAT. “Si bien generalmente aconsejamos precaución con correos electrónicos y enlaces sospechosos, esta campaña destaca la necesidad de ser cauteloso incluso con aplicaciones de mensajería instantánea como Skype y Telegram”.
Además de usar Telegram para la entrega de malware, los atacantes mejoraron su seguridad operativa y limpieza posterior. Después de la instalación, el malware eliminaba los archivos utilizados para desplegar DarkMe. Para dificultar aún más el análisis y tratar de evadir la detección, los perpetradores aumentaron el tamaño del archivo y eliminaron otros rastros, como archivos de post-explotación, herramientas y claves de registro, después de cumplir su objetivo.
Deathstalker, anteriormente conocido como Deceptikons, es un grupo de actores de amenazas activo al menos desde 2018, y posiblemente desde 2012. Se cree que es un grupo de ciber-mercenarios o hackers contratados, en el que el actor de amenazas parece contar con miembros competentes que desarrollan herramientas internas y comprenden el ecosistema de amenazas persistentes avanzadas. El objetivo principal del grupo es recopilar información de negocios, financiera y personal privada, posiblemente con fines de inteligencia competitiva o de negocios al servicio de sus clientes. Suelen dirigirse a pequeñas y medianas empresas, empresas financieras, fintech, firmas legales y, en algunas ocasiones, entidades gubernamentales. A pesar de ello, nunca se ha observado que DeathStalker robe fondos, por lo cual Kaspersky cree que se trata de una organización de inteligencia privada.
El grupo también tiene una tendencia interesante a intentar evitar la atribución de sus actividades, imitando a otros actores de APT.
Para mantenerse protegido ante este tipo de situaciones, los expertos de Kaspersky comparten algunas recomendaciones:
Instala una solución de seguridad de confianza y sigue sus recomendaciones. Estas soluciones resolverán la mayoría de los problemas automáticamente y te alertarán si es necesario.
Mantenerte informado sobre las nuevas técnicas de ciberataque puede ayudarte a reconocerlas y evitarlas. Los blogs de ciberseguridad te ayudarán a mantenerte al día sobre las nuevas amenazas.
Para protegerse contra amenazas avanzadas, los expertos en seguridad de Kaspersky recomiendan a las organizaciones:
Proporcionar a los profesionales de seguridad de la información una visibilidad profunda de las ciberamenazas que atacan a la organización. Kaspersky Threat Intelligence les dará un contexto rico y significativo a lo largo de todo el ciclo de gestión de incidentes y ayudará a identificar los riesgos cibernéticos a tiempo.
Invertir en cursos adicionales de ciberseguridad para tu personal para mantenerlos actualizados con el conocimiento más reciente. Con el entrenamiento de expertos de Kaspersky, los profesionales de seguridad de la información pueden mejorar sus habilidades técnicas y estar en condiciones de defender a sus empresas contra ataques sofisticados. Puedes elegir el formato más adecuado y optar por cursos online autoguiados o cursos en vivo.
Para proteger la empresa contra una amplia gama de amenazas, utiliza las soluciones de Kaspersky Next, que ofrecen protección en tiempo real, visibilidad de amenazas, análisis y capacidades de respuesta de EDR y XDR para organizaciones de cualquier tamaño e industria. Dependiendo de las necesidades y los recursos disponibles, es posible elegir el nivel de producto más relevante y migrar fácilmente a otro si cambian los requerimientos de ciberseguridad cambian.
Equipo de Investigación y Análisis Global
Establecido en 2008, el Equipo de Investigación y Análisis Global (GReAT) opera en el corazón de Kaspersky, descubriendo APTs, campañas de ciberespionaje, malware, ransomware y tendencias de cibercrimen en todo el mundo. En la actualidad, GReAT está compuesto por más de 40 expertos que trabajan globalmente, en Europa, Rusia, América Latina, Asia y Oriente Medio. Estos profesionales de seguridad ofrecen liderazgo en investigación anti-malware e innovación, aportando experiencia, pasión y curiosidad para descubrir y analizar ciberamenazas.
