Тірі жемді аулау: зиянкестер таратады троян Telegram-дағы қаржы арналары арқылы

Зиянды бағдарлама тыңшылық жасауға және құпия деректерді ұрлауға мүмкіндік береді

"Касперский зертханасы" ғаламдық қауіп-қатерді зерттеу және талдау орталығының (GReAT) сарапшылары қаржы және сауда саласындағы пайдаланушылар мен компанияларға бағытталған зиянды науқанды тапты. Шабуылдаушылар трояндық тақырыптық Telegram арналары арқылы таратады, бұл тыңшылық мақсатында құрылғыға қашықтан қол жеткізуге және деректерді ұрлауға мүмкіндік береді. Шабуылдар 20-дан астам елде, соның ішінде Қазақстанда тіркелді.

Инфекцияның негізгі бағыты. Зиянкестер Telegram-дағы жазбаларға ішіндегі зиянды файлдары бар мұрағаттарды тіркейді (типтік кеңейтімдермен .lnk,. com және .cmd). Егер Пайдаланушы осы файлдарды ашса, құрылғыға darkme троян зиянды бағдарламасы жүктеледі, бұл шабуылдаушылар серверінен командаларды қашықтан орындауға және деректерді ұрлауға мүмкіндік береді.

Шабуылшылар инфекцияның іздерін мұқият жасыруға тырысты. Мысалы, орнатқаннан кейін зиянды БҚ DarkMe имплантын жеткізу үшін пайдаланылған файлдарды жояды. Сондай-ақ, олар атрибуцияны қиындату және детекторларды құлату үшін имплант файлының көлемін ұлғайтты. Бұл файлға қажетсіз кодтар мен жолдарды қосу арқылы жүзеге асырылады. Зиянкестер басқа іздерді де жасырды: өз міндеттерін орындағаннан кейін олар оқиғаны анықтау мен тергеуді қиындату үшін пайдаланылғаннан кейінгі файлдарды, құралдарды және тізілім кілттерін алып тастады.

Шабуылдардың артында кім тұр. Науқан DeathStalker (бұрынғы Deceptikons) тобымен байланысты сияқты. Ол кем дегенде 2018 жылдан бастап жұмыс істейді, кейбір мәліметтер бойынша — 2012 жылдан бастап. Зиянкестер "кибержалдамашылар" ретінде жұмыс істейді, яғни олар хакерлік қызмет көрсетеді және қаржылық барлаумен айналысады: олар әртүрлі коммерциялық, қаржылық және жеке ақпаратты жинайды, мысалы, бәсекелестердің пайдасына. Негізінен топ шағын және орта бизнеске, финтех компанияларына, қаржы және заң ұйымдарына шабуыл жасайды. Шабуылдарға қарағанда, DeathStalker құрамына өз құралдарын жасай алатын және киберқауіптердің ландшафтын жақсы түсінетін зиянкестер кіреді.

"Дәстүрлі фишингтік әдістердің орнына шабуылдаушылар зиянды БҚ тарату үшін Telegram арналарын пайдаланды. Сонымен қатар, бұрынғы науқандарда олар құрылғыларды басқа байланыс платформалары арқылы, мысалы, Skype арқылы жұқтырды. Мессенджер ықтимал құрбандарға фишингтік сайтқа қарағанда көбірек сенім тудыруы мүмкін. Сонымен қатар, мұндай қосымшалардан файлдарды жүктеу интернеттен жүктеуден гөрі қауіпті болып көрінуі мүмкін, — деп түсіндіреді Kaspersky GReAT жетекші сарапшысы Татьяна Шишкова. — Біз әдетте әртүрлі электрондық пошталар мен сілтемелерге мұқият болуды ұсынамыз, бірақ бұл науқан басқа ресурстарды, соның ішінде Skype және Telegram сияқты байланыс қолданбаларын пайдаланған кезде де қырағы болу маңызды екенін көрсетті".

Интернеттегі қауіптерден қорғану үшін "Касперский зертханасы" пайдаланушыларға мынадай кеңес береді:

• Kaspersky Premium сияқты сенімді жеткізушіден қорғаныс шешімін орнату. Қолданба күдікті ресурсқа өту немесе ықтимал қауіпті файлды жүктеп алу әрекеті туралы ескертеді. "Касперский зертханасы" шешімдерінің тиімділігі тәуелсіз сынақтармен расталады;
• әр түрлі қауіптерге төтеп беру үшін кибер сауаттылық деңгейін арттыру. Мысалы, ақпараттық қауіпсіздікке мамандандырылған компаниялардың блогтарын оқыңыз.

Компанияларға:

• АҚ мамандарына киберқауіптер туралы жаңа ақпаратқа қол жеткізуге мүмкіндік беру, мысалы, ұйым үшін киберқауіптерді жедел анықтауға және жоюға көмектесу үшін Threat Intelligence қызметтері арқылы;
• әлеуметтік инженерия әдістерін қолдана отырып, мысалы, Kaspersky Automated Security Awareness Platform онлайн платформасы арқылы сәтті шабуылдардың ықтималдығын азайту үшін қызметкерлерге үнемі оқыту тренингтерін өткізу. АҚ мамандарының дағдыларын кеңейту үшін "Касперский зертханасы" сарапшыларының жетілдірілген тренингтері қолайлы;
• Kaspersky Symphony сияқты кешенді шешімдер желісін пайдаланыңыз. Оның құрамына кіретін өнімдер нақты уақыт режимінде қорғауды қамтамасыз етеді және әртүрлі көлемдегі және салалардағы компаниялар үшін жарамды.