حملة خبيثة تستهدف مستخدمي التكنولوجيا المالية عبر تيليجرام
كشف فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي عن حملة عالمية خبيثة استخدم فيها المهاجمون تطبيق تيليجرام لزرع برمجيات حصان طروادة التجسسية، في استهداف محتمل للأفراد والشركات في قطاعي التكنولوجيا المالية والتجارة ضمن بلدان عدة في أوروبا، وآسيا، وأمريكا اللاتينية، والشرق الأوسط. وقد صممت البرمجية الخبيثة لسرقة البيانات الحساسة، مثل كلمات المرور، والسيطرة على أجهزة المستخدمين لأغراض التجسس.
يعتقد أن الحملة على صلة مع مجموعة DeathStalker سيئة السمعة والنشطة في مجال التهديدات المتقدمة المستمرة (APT)، حيث تمتهن القرصنة المأجورة وتقدم خدمات متخصصة في القرصنة والاستخبارات المالية. وفي موجة الهجمات الأخيرة التي رصدتها كاسبرسكي، حاولت مصادر التهديد إصابة الضحايا ببرمجية DarkMe الخبيثة؛ وهي برمجية حصان طروادة تتيح الوصول عن بُعد (RAT)، مصممة لسرقة المعلومات وتنفيذ الأوامر عن بُعد انطلاقاً من خادم خاضع لسيطرة الجناة.
يبدو أن مصادر التهديد التي تقف خلف الحملة كانت قد استهدفت ضحايا في قطاعي التجارة والتكنولوجيا المالية، بحكم أن المؤشرات الفنية تشير أن البرمجية الخبيثة قد وزعت عبر قنوات تيليجرام ينصب تركيزها على هذه المواضيع على الأرجح. وكانت الحملة ذات بُعد عالمي، إذ شخصت كاسبرسكي وجود ضحايا في أكثر من 20 دولة في أوروبا، وآسيا، وأمريكا اللاتينية، والشرق الأوسط.
يكشف تحليل سلسلة العدوى عن قيام المهاجمين بإرفاق ملفات أرشيف خبيثة بالمنشورات في قنوات تيليجرام على الأرجح. ولم تكن ملفات الأرشيف تلك، بما يشمل ملفات RAR أو ZIP، خبيثة بحد ذاتها، لكنها احتوت على ملفات ضارة بامتدادات مثل.lnk و.com و.cmd وإذا ما قام الضحايا المحتملون بتشغيل هذه الملفات، فسيؤدي ذلك إلى تثبيت البرمجية الخبيثة للمرحلة النهائية، DarkMe، في إطار سلسلة من الإجراءات.