Jakarta, Titik Kumpul – Tim Riset dan Analisis Global (GReAT) Kaspersky telah mengungkap kampanye global jahat bahwa penyerang menggunakan Telegram untuk mengirimkan spyware Trojan, yang berpotensi menargetkan individu dan perusahaan di industri fintech dan perdagangan.
Malware dirancang untuk mencuri data sensitif seperti kata sandi dan mengambil alih perangkat pengguna untuk tujuan mata-mata.
Kampanye ini diyakini terkait dengan DeathStalker, aktor Advanced Persistent Threat (APT) tentara bayaran terkenal yang menawarkan layanan peretasan khusus dan intelijen keuangan.
Dalam gelombang serangan terbaru yang diamati oleh Kaspersky, pelaku ancaman berusaha menginfeksi korbannya dengan malware DarkMe, sebuah Trojan akses jarak jauh (RAT) yang dirancang untuk mencuri informasi dan menjalankan perintah jarak jauh dari server yang dikendalikan oleh penjahat.
Pencipta kampanye ini tampaknya menargetkan korban di industri perdagangan dan fintech, karena indikator teknis menunjukkan bahwa malware tersebut kemungkinan besar didistribusikan melalui saluran Telegram yang berfokus pada topik-topik ini.
Kampanye ini bersifat global karena Kaspersky telah mengidentifikasi korban di lebih dari 20 negara di Eropa, Asia, Amerika Latin, dan Timur Tengah.
Analisis rantai infeksi mengungkapkan bahwa penyerang kemungkinan besar menambahkan arsip berbahaya ke pesan di saluran Telegram. Arsip seperti file RAR atau ZIP tidak berbahaya, tetapi berisi file berbahaya dengan ekstensi seperti .LNK, .com, dan .cmd.
Jika calon korban menjalankan file ini, ini akan mengarah ke langkah terakhir dalam urutan instalasi malware DarkMe.
Alih-alih menggunakan metode phishing tradisional, pelaku ancaman mengandalkan saluran Telegram untuk mengirimkan malware.
Kampanye sebelumnya dalam operasi ini menggunakan platform pengiriman pesan lain, seperti Skype, sebagai vektor infeksi awal.
Metode ini membuat calon korban lebih cenderung mempercayai pengirim dan membuka file berbahaya dibandingkan situs phishing.
Selain itu, pengunduhan file melalui aplikasi perpesanan dapat memicu lebih sedikit peringatan keamanan dibandingkan pengunduhan Internet standar, yang merupakan keuntungan bagi pelaku ancaman.
“Meskipun kami secara umum menyarankan agar berhati-hati terhadap email dan tautan yang mencurigakan, kampanye ini menyoroti perlunya berhati-hati bahkan ketika bekerja dengan aplikasi pesan instan seperti Skype dan Telegram,” kata Maher Jamout, kepala peneliti keamanan di Kaspersky.
Selain menggunakan Telegram untuk mengirimkan malware, penyerang juga telah meningkatkan keamanan operasional dan pembersihan pasca-kompromi. Setelah terinstal, malware akan menghapus file yang digunakan untuk menyiapkan implan DarkMe.
Untuk lebih menghambat analisis dan mencoba menghindari deteksi, pelaku memperbesar ukuran file implan dan menghapus jejak lain seperti file pasca penggunaan, alat, dan bahkan kunci registri ketika mencapai target.
Deathstalker, yang sebelumnya dikenal sebagai Decepticons, adalah sekelompok aktor ancaman yang telah aktif setidaknya sejak tahun 2012.
Kelompok tersebut diyakini merupakan sekelompok tentara bayaran dunia maya atau peretas yang disewa, dan pelaku ancaman tampaknya memiliki aktor yang kompeten yang telah mengembangkan alat internal dan memahami ekosistem ancaman yang terus-menerus dan canggih.
Tujuan utama Grup adalah mengumpulkan informasi bisnis, keuangan, dan pribadi, mungkin untuk tujuan bisnis atau intelijen, tentang pesaing yang melayani pelanggannya.
Sasaran mereka biasanya adalah UKM, keuangan, fintech, firma hukum, dan dalam beberapa kasus, lembaga pemerintah.
Meskipun menargetkan jenis target ini, DeathStalker tidak pernah terlihat mencuri dana, sehingga Kaspersky percaya bahwa kelompok tersebut adalah kelompok intelijen swasta.
Kelompok-kelompok ini juga berusaha untuk tidak dikaitkan dengan aktivitas mereka dengan meniru anggota APT lainnya dan menyertakan sinyal palsu.
