Через Telegram-каналы, посвящённые финансам и трейдингу, распространяется троян, который даёт возможность получать удалённый доступ к устройству в целях шпионажа и красть данные пользователей. Атаки зафиксированы более чем в 20 странах, в том числе в РФ, сообщают эксперты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского».
Заражение происходит следующим образом. Киберпреступники прикрепляют к постам в Telegram архивы с вредоносными файлами внутри (с расширениями типа .lnk, .com и .cmd). Если пользователь откроет эти файлы, на устройство загрузится вредоносное ПО — троян DarkMe, позволяющий удалённо выполнять команды с сервера злоумышленников.
Атакующие постарались тщательно скрыть следы заражения. Так, после установки вредонос удаляет файлы, которые использовались для доставки импланта DarkMe, отмечают эксперты. Кибермошенники скрывают и другие артефакты: после выполнения своих задач они удаляют использовавшиеся в фазе пост-эксплуатации файлы, инструменты и ключи реестра, чтобы затруднить обнаружение и расследование инцидента.
«Вместо традиционных фишинговых методов атакующие использовали для распространения вредоносного ПО Telegram-каналы. Причём в более ранних кампаниях они заражали устройства и через другие платформы для общения, например Skype. Мессенджер может вызывать у потенциальных жертв больше доверия, чем фишинговый сайт. Кроме того, загрузка файлов из таких приложений может показаться менее опасной, чем скачивание из интернета, — объясняет Татьяна Шишкова, ведущий эксперт Kaspersky GReAT. — Обычно мы рекомендуем осторожно относиться к различным электронным письмам и ссылкам, но эта кампания показала, что важно быть бдительными и при использовании других ресурсов, в том числе приложений для общения вроде Skype и Telegram».