كشف خبراء في أمن المعلومات، عن حملة خبيثة تستهدف مستخدمي التكنولوجيا المالية عبر تيليجرام، لسرقة البيانات الحساسة، مثل كلمات المرور، والسيطرة على أجهزة المستخدمين لأغراض التجسس .
وبحسب الخبراء، استخدم فيها المهاجمون تيليجرام، لزرع برمجيات حصان طروادة التجسسية، في استهداف محتمل للأفراد والشركات في قطاعي التكنولوجيا المالية والتجارة ضمن بلدان عدة في أوروبا، وآسيا، وأمريكا اللاتينية، والشرق الأوسط.
ويُعتقد أن الحملة على صلة مع مجموعة DeathStalker سيئة السمعة والنشطة في مجال التهديدات المتقدمة المستمرة (APT)، حيث تمتهن القرصنة المأجورة وتقدم خدمات متخصصة في القرصنة والاستخبارات المالية.
حملة ذات بُعد عالمي
وفي موجة الهجمات الأخيرة التي رصدها فريق البحث والتحليل العالمي (GReAT) في كاسبرسكي،حاولت مصادر التهديد إصابة الضحايا ببرمجية DarkMe الخبيثة؛ وهي برمجية حصان طروادة تتيح الوصول عن بعد (RAT)، مصممة لسرقة المعلومات وتنفيذ الأوامر عن بعد انطلاقاً من خادم خاضع لسيطرة الجناة.
ويبدو أن مصادر التهديد التي تقف خلف الحملة كانت قد استهدفت ضحايا في قطاعي التجارة و التكنولوجيا المالية ، بحكم أن المؤشرات الفنية تشير بأن البرمجية الخبيثة قد وُزّعَت عبر قنوات تيليجرام ينصبّ تركيزها على هذه المواضيع على الأرجح. وكانت الحملة ذات بعد عالمي، إذ شخّصت كاسبرسكي وجود ضحايا في أكثر من 20 دولة في أوروبا، وآسيا، وأمريكا اللاتينية، والشرق الأوسط.
مفات ضارة بامتدادات
يكشف تحليل سلسلة العدوى عن قيام المهاجمين بإرفاق ملفات أرشيف خبيثة بالمنشورات في قنوات تيليجرام على الأرجح، ولم تكن ملفات الأرشيف تلك، بما يشمل ملفات RAR أو ZIP، خبيثة بحدّ ذاتها، لكنها احتوت على ملفات ضارة بامتدادات مثل .lnk و.com و.cmd وإذا ما قام الضحايا المحتملون بتشغيل هذه الملفات، فسيؤدي ذلك إلى تثبيت البرمجية الخبيثة للمرحلة النهائية، DarkMe، في إطار سلسلة من الإجراءات.
وأوضح ماهر يموت، كبير الباحثين الأمنيين لدى GReAT، أنه بدلاً من استخدام أساليب التصيد الاحتيالي التقليدية، استعانت مصادر التهديد بقنوات تيليجرام لدسّ البرمجية الخبيثة.
وأضاف: وفي حملات سابقة، رصدنا أيضاً استخدام هذه العملية منصات مراسلة أخرى، مثل Skype، كنواقل للعدوى الأولية. وقد تجعل هذه الطريقة الضحايا المحتملين أكثر ميلاً للثقة بالمرسل وفتح الملف الخبيث قياساً بما هو عليه الحال مع موقع تصيد احتيالي.
وذكر "يموت"، أنه بالإضافة إلى ذلك، قد يؤدي تنزيل الملفات من خلال تطبيقات المراسلة إلى إثارة تحذيرات أمنية أقل بالمقارنة مع التنزيلات الاعتيادية عبر الإنترنت، وهو أمر مواتٍ لمصادر التهديد، مستطردا: وفي حين أننا عادة ما نوصي باليقظة ضد رسائل البريد الإلكتروني والروابط المشبوهة، فإن هذه الحملة تسلط الضوء على الحاجة إلى الحذر عند التعامل حتى مع تطبيقات المراسلة الفورية مثل Skype وتيليجرام.
بالإضافة إلى استخدامهم تيليجرام لدسّ البرمجية الخبيثة، حسّن المهاجمون من مستوى الأمن التشغيلي وممارسات إزالة آثار ما بعد الاختراق. فبعد التثبيت، قامت البرمجية الخبيثة بإزالة الملفات التي اُستخدِمت لنشر DarkMe. ولعرقلة التحليل أكثر ومحاولة الهروب من الاكتشاف، قام الجناة بزيادة حجم ملف الغرسة وأزالوا الدلائل الأخرى، مثل الملفات، والأدوات، ومفاتيح التسجيل اللاحقة للاختراق، بعد تحقيق مبتغاهم.
منظمة استخباراتية خاصة
كانت مجموعة Deathstalker معروفة سابقاً باسم Deceptikons، وهي مصدر تهديد نشط منذ العام 2018 على أقل تقدير، ولربّما منذ العام 2012. ويُعتقد أنها مكونة من المرتزقة الإلكترونيين أو القراصنة المأجورين، حيث يبدو أن لدى مصدر التهديد أعضاء متمرّسون يتولون تطوير مجموعات أدوات داخلياً، ولديهم فهم للمنظومة البيئية المتقدمة للتهديدات المتقدمة المستمرة.
والهدف الأساسي للمجموعة هو جمع المعلومات التجارية، والمالية، والشخصية الخاصة، ومن الوارد أن يكون ذلك لأغراض تنافسية أو استخباراتية تجارية لخدمة عملائها. وعادة ما تستهدف المجموعة الشركات الصغيرة والمتوسطة، والشركات المالية، وشركات التكنولوجيا المالية، وشركات المحاماة، وفي بعض المناسبات، الكيانات الحكومية. ورغم استهداف هذه الأنواع من الأهداف، لم يسبق إطلاقاً رصد قيام DeathStalker بسرقة الأموال، وهو سبب اعتقاد كاسبرسكي أنها منظمة استخباراتية خاصة.
كذلك، لدى المجموعة اتجاه للسعي نحو تجنّب الإسناد الصريح لأنشطتها من خلال تقليدها جهات فاعلة أخرى في مشهد التهديدات المتقدمة المستمرة وإدراجها قرائن زائفة.