Специалисты «Лаборатории Касперского» выявили новую масштабную кибератаку, в ходе которой злоумышленники распространяют троян DarkMe через популярные Telegram-каналы финансовой тематики. География атак охватывает более 20 стран, включая Россию, что свидетельствует о серьезности угрозы для пользователей мессенджера.
Механизм распространения и функционал трояна
Злоумышленники используют изощренную тактику распространения вредоносного ПО, прикрепляя к постам в Telegram архивы с файлами различных расширений (.lnk, .com, .cmd). При открытии этих файлов происходит загрузка трояна DarkMe, который предоставляет атакующим возможность удаленного управления зараженным устройством и кражи конфиденциальных данных.
Продвинутые техники маскировки
Исследователи отмечают высокий уровень технической подготовки злоумышленников. После установки троян автоматически удаляет файлы, использованные для его доставки. Для усложнения обнаружения антивирусными системами размер вредоносного файла был искусственно увеличен путем добавления избыточного кода. Более того, после выполнения задач удаляются все следы активности, включая файлы пост-эксплуатации и записи в реестре.
Связь с группировкой DeathStalker
Анализ технических индикаторов позволил экспертам связать данную кампанию с известной хакерской группой DeathStalker (также известной как Deceptikons). Группировка активна с 2018 года и специализируется на предоставлении хакерских услуг по найму. Основной фокус их деятельности направлен на финансовую разведку и сбор конфиденциальной информации о компаниях.
Целевая аудитория атак
Первоочередными мишенями DeathStalker являются организации малого и среднего бизнеса, особенно в финтех-секторе, а также финансовые и юридические компании. Группировка отличается высоким техническим потенциалом и способностью разрабатывать собственные вредоносные инструменты.
Эксперты подчеркивают, что использование Telegram в качестве вектора атаки представляет особую опасность из-за высокого уровня доверия пользователей к контенту в мессенджере. В отличие от традиционных фишинговых схем, загрузка файлов из знакомой платформы может восприниматься как безопасное действие, что повышает эффективность атак. Для защиты рекомендуется проявлять повышенную бдительность при скачивании файлов из любых источников, включая доверенные мессенджеры.
