MADRID, 20 de diciembre. – Investigadores han desvelado una alarmante campaña maliciosa a nivel global, la cual ha tenido repercusiones en más de 20 países. Los cibercriminales han utilizado la plataforma de comunicación Telegram para la diseminación de 'spyware', cuyo propósito es el robo de información sensible, apuntando principalmente a profesionales en los sectores de Finanzas y tecnología, incluidos los de Comercio y Fintech.
Este ataque ha sido atribuido a un grupo conocido como DeathStalker, un actor de amenazas persistentes avanzadas (APT, por sus siglas en inglés) que se comporta como un hacker por contrato, ofreciendo servicios de 'hacking' e inteligencia financiera a diferentes clientes.
Anteriormente, DeathStalker era reconocido bajo el nombre de Deceptikons, un grupo que ha estado activo al menos desde 2018, aunque se sospecha que su existencia se remonta a 2012. Este grupo es considerado una agrupación de cibermercenarios, cuyos miembros son hábiles en la creación de herramientas personalizadas y tienen un conocimiento profundo del ecosistema de amenazas persistentes avanzadas.
Los especialistas en ciberseguridad han señalado que este grupo ha lanzado una campaña enfocada en sectores específicos como el comercio y Fintech, dado que se han detectado indicios de que el 'malware' ha sido distribuido a través de canales específicos de Telegram destinados a estos ámbitos económicos.
Más concretamente, se han identificado víctimas en más de 20 naciones de Europa, Asia, América Latina y Oriente Medio. En esta campaña, los cibercriminales han adjuntado archivos maliciosos que, en realidad, contenían elementos dañinos con extensiones como .LNK, .com y .cmd.
Al ser ejecutados, esos archivos llevan a la instalación de DarkMe, un troyano de acceso remoto (RAT) que tiene como fin robar información y llevar a cabo comandos desde un servidor bajo control de los atacantes.
Kaspersky destaca que, en lugar de recurrir a los métodos tradicionales de 'phishing', estos actores de amenazas optaron por utilizar los canales de Telegram para la distribución de este 'spyware'. Sin embargo, se ha observado en campañas pasadas el uso de otras plataformas de mensajería, como Skype, como origen de infección.
El investigador principal de seguridad de GReAT, Maher Yamout, ha comentado que “este método puede facilitar que las víctimas potenciales confíen más en el remitente y abran el archivo malicioso, en comparación con un sitio web de phishing”.
Además de la utilización de Telegram para la entrega del 'malware', los atacantes han optimizado su seguridad operativa y sus procesos de limpieza post-infección. Una vez instalado, el 'malware' se encarga de eliminar los archivos que se utilizaron para desencadenar la instalación de DarkMe, dificultando así su rastreo.
Para complicar aún más el análisis y evadir la detección, los perpetradores de esta campaña han incrementado el tamaño de los archivos y suprimido otros rastros, tales como archivos de post-explotación, herramientas y claves en el registro del sistema.
Kaspersky ha enfatizado la importancia de que las empresas implementen soluciones de seguridad robustas para protegerse de este tipo de amenazas, así como la necesidad de estar al tanto de las nuevas técnicas de ciberataque para poder identificarlas y prevenirlas. Aconsejan, además, que las organizaciones inviertan en capacitación adicional en ciberseguridad para su personal.
Categoría:
Newsletter
Entérate de las últimas noticias cómodamente desde tu mail.