Kaspersky découvre une campagne malveillante sur Telegram visant les entreprises de la fintech
octobre 2024 par Kaspersky
L’équipe GReAT (Global Research and Analysis team) de Kaspersky a débusqué une campagne cybercriminelle menée par des hackers utilisant Telegram pour diffuser un logiciel espion de type Trojan à l’échelle mondiale, ciblant notamment des particuliers et des entreprises dans les secteurs de la fintech et du trading. Le malware est conçu pour voler des données sensibles, telles que les mots de passe, et prendre le contrôle des appareils des utilisateurs à des fins d’espionnage.
Il semblerait que cette campagne soit liée à DeathStalker, un acteur APT proposant des services spécialisés de piratage informatique et de veille financière. La récente vague d’attaques observée par Kaspersky visait à infecter les victimes avec le malware DarkMe, un cheval de Troie d’accès à distance (RAT), conçu pour voler des informations et exécuter des commandes à distance à partir d’un serveur contrôlé par les auteurs de l’attaque.
Les acteurs de la menace à l’origine de cette campagne semblent avoir ciblé des personnes dans les secteurs du commerce et de la fintech, les indicateurs techniques suggérant que le logiciel malveillant a probablement été distribué par l’intermédiaire de canaux Telegram consacrés à ces sujets. Kaspersky a identifié des victimes dans plus de 20 pays d’Europe, d’Asie, d’Amérique latine et du Moyen-Orient.
Cette analyse de la chaîne d’infection démontre que les pirates ont très probablement joint des archives malveillantes à des messages postés sur des canaux Telegram. Ces archives, telles que les fichiers RAR ou ZIP contiennent des fichiers nuisibles portant des extensions telles que .LNK, .com et .cmd. Si les victimes éventuelles lancent ces fichiers, cela conduit à l’installation du logiciel DarkMe, en plusieurs étapes.
« Au lieu d’utiliser des méthodes de phishing traditionnelles, les acteurs de la menace se sont appuyés sur les canaux Telegram pour diffuser le malware. Lors de campagnes antérieures, nous avons également observé que cette opération utilisait d’autres plateformes de messagerie, telles que Skype, comme vecteur d’infection initiale. Cette méthode peut rendre les victimes potentielles plus susceptibles de faire confiance à l’expéditeur et d’ouvrir le fichier malveillant que dans le cas d’un site web d’hameçonnage. En outre, le téléchargement de fichiers par le biais d’applications de messagerie peut déclencher moins d’avertissements de sécurité que les téléchargements standard, ce qui est favorable aux acteurs de la menace », explique Maher Yamout, chercheur principal en sécurité chez GReAT. « Alors que nous conseillons généralement d’être vigilant face aux courriels et aux liens suspects, cette campagne met en évidence la nécessité de faire preuve de prudence même avec des applications de messagerie instantanée telles que Skype et Telegram ».
En plus de l’utilisation de Telegram pour la diffusion de logiciels malveillants, les attaquants ont amélioré leur sécurité opérationnelle et le nettoyage après compromission. Une fois installé, le malware a supprimé les fichiers utilisés pour déployer l’implant DarkMe. Afin d’entraver davantage l’analyse et d’essayer d’échapper à la détection, les pirates ont étendu la taille du fichier de l’implant et effacé leurs traces, telles que des fichiers, des outils et des clés de registre postérieurs à l’exploitation, après avoir atteint leur objectif.
Le Deathstalker, auparavant connu sous le nom de Deceptikons, est un groupe d’acteurs de la menace actif depuis au moins 2018, et possiblement depuis 2012. Il s’agirait d’un groupe de cyber-mercenaires disposants de membres hautement compétents qui développent leurs propres outils et comprennent l’écosystème des menaces persistantes avancées. L’objectif principal du groupe est de collecter des informations commerciales, financières et personnelles privées, éventuellement à des fins concurrentielles ou d’intelligence économique au service de leur clientèle. Ils ciblent généralement les petites et moyennes entreprises, les sociétés financières, les fintechs, les cabinets d’avocats et, à de rares occasions, les entités gouvernementales. Malgré la typologie de ses cibles, DeathStalker n’a jamais été observé en train de détourner des fonds, ce qui explique pourquoi Kaspersky pense qu’il s’agit d’un service de renseignement privé.
Autre caractéristique notable, le groupe semble s’appliquer à contourner toute attribution de ses activités, en imitant d’autres acteurs APT et incorporant de faux drapeaux à ses outils.