Telegram: scoperta una campagna globale di spyware

Il team di ricerca e analisi globale di Kaspersky ha scoperto una campagna dannosa su scala internazionale, in cui gli attaccanti hanno utilizzato Telegram per distribuire spyware di tipo Trojan.

Il malware è stato progettato per sottrarre informazioni sensibili – tra cui password personali – e prendere il controllo dei dispositivi degli utenti, con finalità di spionaggio.

 

La campagna: soggetti coinvolti, propagazione del malware e obiettivi

Questa campagna sembra essere collegata a DeathStalker, un noto gruppo specializzato in servizi di hacking e intelligence finanziaria.

Nei recenti attacchi analizzati da Kaspersky, gli autori delle minacce hanno utilizzato un malware chiamato DarkMe – un Trojan di accesso remoto – progettato per raccogliere informazioni e permettere agli attaccanti di eseguire comandi da un server controllato da loro.

Gli esami tecnici indicano che il malware è stato probabilmente distribuito tramite canali Telegram attraverso file allegati dannosi. Sebbene i file allegati iniziali, come gli archivi RAR o ZIP, fossero apparentemente innocui, al loro interno contenevano file eseguibili dannosi con estensioni come .LNK, .com e .cmd.

Quando le vittime aprivano questi file, veniva avviata l’installazione del malware DarkMe, permettendo agli attaccanti di prendere il controllo dei dispositivi e delle applicazioni degli utenti.

Gli attaccanti sembrano essersi concentrati in modo particolare su vittime attive nei settori del trading e fintech. In particolare, Kaspersky ha identificato vittime della campagna in oltre 20 Paesi, includendo aree dell’Europa, Asia, America Latina e Medio Oriente.

 

Campagne spyware: come tutelarsi?

Al fine di ridurre significativamente il rischio di cadere vittima di campagne di spyware, è fondamentale adottare misure preventive di sicurezza.

Alcune misure significative sono:

 

  • Evitare di aprire allegati potenzialmente sospetti: non aprire file allegati provenienti da fonti non affidabili o sconosciute, specialmente su piattaforme di messaggistica;

 

  • Abilitare l’autenticazione a due fattori: utilizzare l’autenticazione a due fattori al fine di proteggere gli account. Infatti, questo livello di sicurezza aggiuntivo rende più difficile per gli attaccanti accedere ai dati anche se riescono a rubare le credenziali;

 

  • Impiegare ed aggiornare costantemente software affidabili: utilizzare software di sicurezza affidabili che includano antivirus, anti-spyware e firewall. Inoltre, è necessario aggiornare regolarmente il sistema operativo utilizzato e le applicazioni su tutti i dispositivi;

 

  • Usare canali ufficiali e verificati: scaricare e aggiornare applicazioni solo da fonti ufficiali e affidabili, diffidando delle piattaforme che offrono file e software non verificati;

 

  • Eseguire backup regolari dei dati: effettuare backup frequenti dei dati importanti e mantenerli su dispositivi non connessi alla rete. Eseguire backup è fondamentale poiché, in caso di compromissione, i dati potranno essere ripristinati senza necessità di pagare riscatti o subire perdite;

 

  • Controllare le estensioni dei file: porre particolare attenzione a file con estensioni sospette o doppie, come “.LNK”, “.cmd”, o “.com”, soprattutto se provengono da archivi ZIP o RAR;

 

  • Educazione e sensibilizzazione del personale: in ambito lavorativo, la sensibilizzazione su phishing e malware è essenziale per proteggere l’azienda e i dati sensibili. Al fine di ridurre il rischio di attacchi, è necessario creare una cultura di sicurezza informatica tra i dipendenti.

Condividi