Содержание |
Хроника
2024: Атака на российских подписчиков финансовых Telegram-каналов
1 ноября 2024 года стало известно о том, что российские пользователи финансовых Telegram-каналов подвергаются атакам вирусов-шпионов. Специалисты «Лаборатории Касперского» сообщили о новой кибератаке с использованием трояна DarkMe, который активно применяется для получения удаленного доступа к устройствам и кражи данных подписчиков в более чем 20 странах мира, включая Россию.
Злоумышленники используют финансовые и трейдинговые каналы в Telegram для распространения вредоносного ПО. Они прикрепляют к сообщениям архивы с файлами, содержащими вредоносные компоненты, имеющие расширения .lnk, .com и .cmd. Открытие таких файлов приводит к установке трояна, который дает атакующим возможность удаленно выполнять команды с сервера и похищать информацию, хранящуюся на устройстве.
По словам ведущего эксперта Kaspersky GReAT Татьяны Шишковой, злоумышленники используют сложные методы для сокрытия своих следов. После установки троян удаляет файлы, которые использовались для его доставки, и увеличивает размер файла, добавляя мусорный код и строки, чтобы усложнить его обнаружение. Кроме того, после завершения выполнения задач вредоносный код удаляет все использованные файлы, инструменты и ключи реестра, чтобы затруднить расследование инцидента.Витрина данных НОТА ВИЗОР для налогового мониторинга
Эксперты связывают эту атаку с хакерской группировкой DeathStalker, которая известна своей активностью с 2018 года. Эта группировка работает по найму и специализируется на кибершпионаже, включая сбор финансовой и коммерческой информации. По мнению специалистов, DeathStalker преимущественно атакует малый и средний бизнес, финтех-компании, а также финансовые и юридические организации. Члены группировки обладают высокой квалификацией в разработке собственных инструментов и имеют глубокие знания в области киберугроз.[1]