Investigadores han descubierto una campaña maliciosa global, que ha afectado a más de 20 países, en la que los atacantes utilizaron canales de la plataforma de comunicación Telegram para distribuir 'spyware' diseñado para robar datos sensibles entre profesionales de las industrias de Finanzas y tecnología (Fintech) y Comercio.
El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha avanzado que se atribuye este ataque a DeathStalker, un actor de amenazas persistentes avanzadas (APT, por sus siglas en inglés) de tipo hacker por contrato, que ofrece servicios especializados de 'hacking' e inteligencia financiera.
Deathstalker antes era conocido como Deceptikons, un grupo de actores de amenazas activo al menos desde 2018, y posiblemente desde 2012. Se cree que es un grupo de cibermercenarios o hackers contratados, en el que el actor de amenazas parece contar con miembros competentes que desarrollan herramientas internas y comprenden el ecosistema de amenazas persistentes avanzadas.
Los expertos en ciberseguridad han advertido que este grupo ha distribuido una campaña dirigida a víctimas en los sectores de Comercio y fintech, ya que los indicadores sugieren que el 'malware' se distribuyó a través de canales de Telegram enfocados a estos temas.
Más concretamente, han identificado víctimas en más de 20 países de Europa, Asia, América Latina y Oriente Medio, a los que estos ciberdelincuentes han dirigido un ataque en el que adjuntaban archivos maliciosos que, en realidad, contenían archivos dañinos con extensiones como -LNK, .com y .cmd.
En caso de ejecutarlo, se producía la instalación del 'software' malicioso DarkMe, un troyano de acceso remoto (RAT), diseñado para robar información y ejecutar comandos remotos desde un servidor controlado por los ciberdelincuentes.
Desde Kaspersky han puntualizado que, en lugar de utilizar métodos tradicionales de 'phishing', los actores de amenazas recurrieron a canales de Telegram para distribuir este 'spyware', aunque en campañas anteriores también observaron el uso de otras plataformas de mensajería, como Skype, como vector de infección inicial.
"Este método puede hacer que las posibles víctimas confíen más en el remitente y abran el archivo malicioso, en comparación con un sitio web de phishing", ha subrayado el investigador principal de seguridad de GReAT, Maher Yamout.
Además de usar Telegram para la entrega de 'malware', los atacantes mejoraron su seguridad operativa y limpieza posterior. De esa forma, después de la instalación, el 'malware' eliminaba los archivos utilizados para desplegar DarkMe.
Asimismo, para dificultar aún más el análisis y tratar de evadir la detección, los perpetradores de la campaña aumentaron el tamaño del archivo y eliminaron otros rastros, como archivos de post-explotación, herramientas y claves de registro.
Desde Kaspersky han subrayado que las empresas deben instalar soluciones de seguridad para mantenerse protegidos ante este tipo de situaciones, así como conocer las nuevas técnicas de ciberataque, para reconocerlas y evitarlas. También es recomendable que las empresas inviertan en cursos adicionales de ciberseguridad para su personal.
Últimas Noticias
Un sistema de inteligencia artificial ayuda a las personas ciegas a orientarse
El premio Nobel de la Paz Shigemitsu Tanaka: "Estamos ante la crisis nuclear más inminente de la historia"
Shigemitsu Tanaka advierte sobre el riesgo nuclear actual, exigiendo atención hacia las víctimas de Hiroshima y Nagasaki, y critica la falta de acciones concretas para el desarme nuclear global
México busca negociar reducción de aranceles en sectores automotriz, de acero y aluminio
Trump agradece a Bukele por aceptar y detener a migrantes expulsados de EE.UU.
Ribera advierte de que Europa no debe ser "ingenua" en su relación con otros actores
Teresa Ribera subraya la necesidad de actualizar las relaciones de Europa con actores económicos, fomentando la cooperación internacional y garantizando la igualdad de condiciones en un contexto de transformación industrial y energética
