„კასპერსკის ლაბორატორიის“ გლობალური კვლევისა და საფრთხეების ანალიზის ცენტრის (GReAT) ექსპერტებმა აღმოაჩინეს მავნე კამპანია, რომელიც მიმართული იყო მომხმარებლებისა და კომპანიებისთვის ფინანსური და სავაჭრო სექტორიდან. თავდამსხმელები ავრცელებენ ტროიანელს თემატური Telegram-ის არხებით, რაც საშუალებას აძლევს მოწყობილობაზე დისტანციური წვდომას ჯაშუშობისა და მონაცემების მოპარვის მიზნით. თავდასხმები დაფიქსირდა 20-ზე მეტ ქვეყანაში.
კომპანია იტყობინება, რომ თავდამსხმელები Telegram-ის პოსტებს ამაგრებენ არქივებს მავნე ფაილებით შიგნით (გაფართოებით, როგორიცაა .lnk, .com და .cmd). თუ მომხმარებელი გახსნის ამ ფაილებს, მავნე პროგრამა ჩამოიტვირთება მოწყობილობაში – DarkMe Trojan-ს, რომელიც საშუალებას იძლევა დისტანციური ბრძანებების შესრულებისა და სერვერიდან მონაცემთა მოპარვის.
თავდამსხმელები ცდილობდნენ დაინფიცირების კვალი საგულდაგულოდ დამალონ. მაგალითად, ინსტალაციის შემდეგ, მავნე პროგრამა შლის ფაილებს, რომლებიც გამოიყენებოდა DarkMe იმპლანტის მიწოდებისთვის. მათ ასევე გაზარდეს იმპლანტის ფაილის ზომა, რათა გაართულონ ატრიბუცია და დაბნეულობა გამოიწვიონ. ეს კეთდება ფაილში უსარგებლო კოდის და ხაზების დამატებით. თავდამსხმელებმა ასევე დაფარეს სხვა ბილიკები: დავალებების შესრულების შემდეგ, მათ წაშალეს ფაილები, ხელსაწყოები და რეესტრის გასაღებები, რომლებიც გამოყენებული იყო ექსპლუატაციის შემდგომ ფაზაში, რათა გაერთულებინათ ინციდენტის გამოვლენა და გამოძიება.
კამპანია, როგორც ჩანს, ასოცირდება ჯგუფთან DeathStalker (ყოფილი Deceptikons). ის მოქმედებს სულ მცირე 2018 წლიდან და ზოგიერთი მონაცემებით, 2012 წლიდან. თავდამსხმელები მუშაობენ როგორც „კიბერ დაქირავებულები“, ანუ უზრუნველყოფენ ჰაკერულ სერვისებს და ეწევიან ფინანსურ დაზვერვას: ისინი აგროვებენ სხვადასხვა კომერციულ, ფინანსურ და პერსონალურ ინფორმაციას, მაგალითად, კონკურენტების სასარგებლოდ. ჯგუფი ძირითადად უტევს მცირე და საშუალო ბიზნესს, ფინტექ კომპანიებს, ფინანსურ და იურიდიულ ორგანიზაციებს. თავდასხმების მიხედვით ვიმსჯელებთ, DeathStalker მოიცავს თავდამსხმელებს, რომლებსაც შეუძლიათ საკუთარი ინსტრუმენტების შემუშავება და კარგად ესმით კიბერ საფრთხის ლანდშაფტი.
„ტრადიციული ფიშინგის მეთოდების ნაცვლად, თავდამსხმელებმა მავნე პროგრამების გასავრცელებლად გამოიყენეს Telegram არხები. უფრო მეტიც, წინა კამპანიებში ისინი აინფიცირებდნენ მოწყობილობებს სხვა საკომუნიკაციო პლატფორმების საშუალებით, მაგალითად Skype. მსხვერპლი ამ მესენჯერს უფრო ენდობა, ვიდრე ფიშინგურ საიტს. გარდა ამისა, ასეთი აპლიკაციებიდან ფაილების ჩამოტვირთვა შეიძლება ნაკლებად საშიში ჩანდეს, ვიდრე ინტერნეტიდან ჩამოტვირთვა, — განმარტავს KasperskyGReAT-ის წამყვანი ექსპერტი ტატიანა შიშკოვა. — „ჩვენ, როგორც წესი, გირჩევთ იყოთ ფრთხილად ელ. ფოსტისა და ბმულების გამოყენებისას, მაგრამ ამ კამპანიამ აჩვენა, რომ განსაკუთრებით სიფხიზლით მოეპყროთ სხვა რესურსების გამოყენებას, მათ შორის ისეთი საკომუნიკაციო აპლიკაციების, როგორებიც არიან Skype და Telegram“.
„კასპერსკის ლაბორატორიაა“ არის საერთაშორისო კომპანია, რომელიც მუშაობს ინფორმაციის უსაფრთხოებისა და ციფრული კონფიდენციალურობის სფეროში 1997 წლიდან დღემდე. კომპანიამ დაიცვა 1 მილიარდზე მეტი მოწყობილობა მასიური კიბერ საფრთხეებისა და მიზანმიმართული თავდასხმებისგან. მისი დაგროვილი ცოდნა და გამოცდილება მუდმივად გარდაიქმნება ინოვაციურ გადაწყვეტილებებსა და სერვისებში, რათა დაიცვას ბიზნესი, კრიტიკული ინფრასტრუქტურა, სამთავრობო უწყებები და რიგითი მომხმარებლები მთელს მსოფლიოში. „კასპერსკის ლაბორატორიის“ ვრცელი პორტფოლიო მოიცავს მოწინავე ტექნოლოგიებს ბოლო წერტილების დასაცავად, სპეციალიზებული პროდუქტებისა და სერვისების სპექტრს, ასევე კიბერ-იმუნურ გადაწყვეტილებებს კომპლექსურ და მუდმივად განვითარებად კიბერ საფრთხეებთან საბრძოლველად. ჩვენ ვეხმარებით 200 000 კორპორატიულ კლიენტს მთელს მსოფლიოში დაიცვან ის, რაც მათთვის ყველაზე ღირებულია. დამატებითი დეტალები იხილეთ www.kaspersky.com -ზე.