Investigadores han descubierto una campaña maliciosa global, que ha afectado a más de 20 países, en la que los atacantes utilizaron canales de la plataforma de comunicación Telegram para distribuir 'spyware' diseñado para robar datos sensibles entre profesionales de las industrias de Finanzas y tecnología (Fintech) y Comercio.
El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha avanzado que se atribuye este ataque a DeathStalker, un actor de amenazas persistentes avanzadas (APT, por sus siglas en inglés) de tipo hacker por contrato, que ofrece servicios especializados de 'hacking' e inteligencia financiera.
Deathstalker antes era conocido como Deceptikons, un grupo de actores de amenazas activo al menos desde 2018, y posiblemente desde 2012. Se cree que es un grupo de cibermercenarios o hackers contratados, en el que el actor de amenazas parece contar con miembros competentes que desarrollan herramientas internas y comprenden el ecosistema de amenazas persistentes avanzadas.
Los expertos en ciberseguridad han advertido que este grupo ha distribuido una campaña dirigida a víctimas en los sectores de Comercio y fintech, ya que los indicadores sugieren que el 'malware' se distribuyó a través de canales de Telegram enfocados a estos temas.
Más concretamente, han identificado víctimas en más de 20 países de Europa, Asia, América Latina y Oriente Medio, a los que estos ciberdelincuentes han dirigido un ataque en el que adjuntaban archivos maliciosos que, en realidad, contenían archivos dañinos con extensiones como -LNK, .com y .cmd.
En caso de ejecutarlo, se producía la instalación del 'software' malicioso DarkMe, un troyano de acceso remoto (RAT), diseñado para robar información y ejecutar comandos remotos desde un servidor controlado por los ciberdelincuentes.
Desde Kaspersky han puntualizado que, en lugar de utilizar métodos tradicionales de 'phishing', los actores de amenazas recurrieron a canales de Telegram para distribuir este 'spyware', aunque en campañas anteriores también observaron el uso de otras plataformas de mensajería, como Skype, como vector de infección inicial.
"Este método puede hacer que las posibles víctimas confíen más en el remitente y abran el archivo malicioso, en comparación con un sitio web de phishing", ha subrayado el investigador principal de seguridad de GReAT, Maher Yamout.
Además de usar Telegram para la entrega de 'malware', los atacantes mejoraron su seguridad operativa y limpieza posterior. De esa forma, después de la instalación, el 'malware' eliminaba los archivos utilizados para desplegar DarkMe.
Asimismo, para dificultar aún más el análisis y tratar de evadir la detección, los perpetradores de la campaña aumentaron el tamaño del archivo y eliminaron otros rastros, como archivos de post-explotación, herramientas y claves de registro.
Desde Kaspersky han subrayado que las empresas deben instalar soluciones de seguridad para mantenerse protegidos ante este tipo de situaciones, así como conocer las nuevas técnicas de ciberataque, para reconocerlas y evitarlas. También es recomendable que las empresas inviertan en cursos adicionales de ciberseguridad para su personal.
Últimas Noticias
Juan Musso: "Sé que el grupo no va a parar hasta conseguirlo y que el título va a llegar"

EEUU pide a sus ciudadanos no viajar a Irán ante la posibilidad de que se produzcan nuevos ataques

World2Fly inaugura su nuevo vuelo directo entre Lisboa y Montego Bay (Jamaica)

Bruselas espera que el sistema inteligente para el control de fronteras esté operativo en octubre en toda la UE
El comisario Magnus Brunner confirma que el sistema de entrada y salida será implementado en octubre, permitiendo un control de fronteras más eficiente con una activación gradual para algunos países miembros

El Museo Meadows amplía su colección de arte español con 12 obras de artistas como Madrazo o Teresa Lanceta
El Museo Meadows incorpora a su colección permanente obras de artistas españoles desde el siglo XV hasta la actualidad, destacando un retrato de Raimundo de Madrazo y un ciborio del siglo XV
