Secondo Kaspersky, una campagna internazionale malevola ha preso di mira individui e imprese dei settori fintech e trading. Gli attaccanti hanno sfruttato Telegram per la distribuzione di spyware Trojan.
“Invece di utilizzare i tradizionali metodi di phishing, gli attori delle minacce si sono affidati ai canali di Telegram per distribuire il malware”, spiega Maher Yamout, Lead Security Researcher di GReAT.
“Il metodo di somministrazione del malware rilevato dal GReAT di Kaspersky, vale a dire mediante file a loro volta contenuti in archivi compressi condivisi attraverso canali Telegram, denota come siano ancora scarsamente adottate le misure di basic hygiene“, commenta Enrico Morisi, Ict Security Manager.
Inoltre, “l’allerta sulla campagna malevola tramite Telegram nel settore fintech mette in luce non solo l’evoluzione delle minacce, ma anche l’importanza di misure di conformità normativa per rafforzare la difesa cyber“, aggiunge Sandro Sana, Cyber security Division Manager.
Ecco come correre ai ripari e difendersi dal furto di dati sensibili e password.
Indice degli argomenti
Un malware usa Telegram per distribuire spyware Trojan
Il malware, scoperto dal Global Research and Analysis team (GReAT) di Kaspersky, è destinato al furto di dati sensibili, come credenziali e password, al fine di ottenere il controllo dei dispositivi degli utenti per spionaggio.
La campagna sembra avere legami con DeathStalker, un famoso APT (Advanced Persistent Threat), gruppo specializzato in hacking ed intelligence finanziaria, precedentemente noto come Deceptikons, attivo almeno dal 2018 e probabilmente già dal 2012.
L’attore delle minacce ha tentato di infettare le vittime con il remote access Trojan (RAT), il malware DarkMe, ideato per rubare informazioni e per l’esecuzione di comandi remoti da un server controllato dal cyber crime.
La distribuzione del malware avviene attraverso i canali Telegram, specializzati sul trading e fintech. La campagna ha infettato vittime in oltre 20 Paesi in Europa, Asia, America Latina e Medio Oriente.
“In campagne precedenti, abbiamo osservato questa operazione anche attraverso altre piattaforme di messaggistica, ad esempio Skype, come vettore per l’infezione iniziale. Questo metodo può rendere le potenziali vittime più inclini a fidarsi del mittente e ad aprire il file dannoso rispetto al caso di un sito web di phishing. Inoltre, il download di file attraverso le app di messaggistica può far scattare meno avvisi di sicurezza rispetto ai download standard su Internet, il che è favorevole agli attori delle minacce”, spiega Maher Yamout.
I dettagli
Oltre a impiegare Telegram per distribuire malware, gli attaccanti hanno ottimizzato la sicurezza operativa e la pulizia post-compromissione. Una volta installato, il malware è stato in grado di rimuovere i file usati per la distribuzione di DarkMe. Al fine di impedire l’analisi e di eludere il rilevamento, raggiunto il loro obiettivo, gli autori hanno incrementato la dimensione del file d’installazione e hanno cancellato altre tracce, come file, tool e chiavi di registro post-exploitation.
“Lo sviluppo di malware sempre più sofisticati, soprattutto in termini di evasion, di capacità di penetrare i layer di difesa senza essere rilevati, permanendo indisturbati all’interno del ‘perimetro’, controllando visibilità e consumo di risorse, ‘mimetizzandosi’ tra i processi leciti, in totale anonimato, è caratteristico di questo tipo di minacce”, mette in guardia Morisi.
Ma la mancata adozione di misure di cyber igiene “è ancora più grave in ambiti critici come quello finanziario: aprire (ndr eseguire) file di questo genere, è assimilabile allo stereotipo dell’accettare caramelle da uno sconosciuto”, spiega Morisi.
Come mitigare il rischio
In questi casi, bisogna rimanere sempre vigili. “Sebbene di solito consigliamo di fare attenzione a email e link sospetti, questa campagna evidenzia la necessità di essere cauti anche quando si tratta di app di messaggistica istantanea come Skype e Telegram”, avverte Maher Yamout.
Installare e mantenere aggiornate le soluzioni di sicurezza e sistemi di Threat Intelligence aiuta a risolvere in automatico la maggior parte dei problemi, avvisando l’utente se necessario.
Occorre inoltre aggiornarsi sulle tecniche di cyber attacco e seguire corsi di formazione.
“È evidente che la misura di contrasto più efficace è rappresentata dalla promozione della cultura della sicurezza, orientata a un vero cambiamento del comportamento, al fine di evitare, ad esempio, il download di file da sorgenti non affidabili e di prestare la massima attenzione agli attacchi di social engineering”, avverte Morisi.
“D’altro canto, traffico di rete anomalo, sia in ingresso sia in uscita, comportamenti insoliti di processi in esecuzione, modifiche non previste alle configurazioni di boot dei sistemi operativi e tentativi di privilege escalation rappresentano tutti esempi di indicatori di sospetta compromissione“, conclude Morisi.
Infine, i “regolamenti come il GDPR nell’Unione Europea e il DORA (Digital Operational Resilience Act) offrono un quadro normativo che richiede alle aziende di implementare solide misure di sicurezza per la gestione del rischio e la protezione dei dati sensibili”, sottolinea Sandro Sana: “Queste normative spingono le organizzazioni a migliorare la propria resilienza digitale e a dotarsi di sistemi di monitoraggio e risposta agli incidenti, riducendo così il rischio di violazioni“.
“Attenersi a questi regolamenti, oltre ad aumentare la sicurezza complessiva, può contribuire a limitare i danni in caso di attacco e a garantire la continuità operativa del settore finanziario“, conclude Sana.
