TIM Riset dan Analisis Dunia Kaspersky (GReAT) telah mengungkap kampanye Dunia berbahaya oleh para penyerang dengan menggunakan Telegram Demi mengirimkan spyware Trojan, yang berpotensi menargetkan individu dan bisnis di industri fintech dan perdagangan.
Malware tersebut dirancang Demi mencuri data sensitif, seperti kata sandi, dan mengambil alih perangkat pengguna Demi tujuan spionase.
Kampanye tersebut diyakini terkait dengan DeathStalker, aktor APT (Advanced Persistent Threat) bayaran yang terkenal yang menawarkan layanan peretasan dan intelijen keuangan Spesifik.
Dalam gelombang serangan terbaru yang diamati Kaspersky, aktor ancaman mencoba menginfeksi korban dengan malware DarkMe – Trojan akses jarak jauh (RAT), yang dirancang Demi mencuri informasi dan menjalankan perintah jarak jauh dari server yang dikendalikan oleh para pelaku.
Aktor ancaman di balik kampanye tersebut tampaknya telah menargetkan korban di sektor perdagangan dan fintech, karena indikator teknis menunjukkan malware tersebut kemungkinan didistribusikan melalui saluran Telegram yang berfokus pada topik-topik ini.
Kampanye tersebut bersifat Dunia, karena Kaspersky telah mengidentifikasi korban di lebih dari 20 negara di seluruh Eropa, Asia, Amerika Latin, dan Timur Tengah.
Analisis rantai infeksi mengungkap bahwa penyerang kemungkinan besar melampirkan arsip berbahaya ke posting di saluran Telegram.
Arsip itu sendiri, seperti file RAR atau ZIP, Bukan berbahaya, tetapi berisi file berbahaya dengan Ekspansi seperti .LNK, .com, dan .cmd.
Apabila calon korban meluncurkan file-file ini, hal itu mengarah pada pemasangan malware tahap akhir, DarkMe, dalam serangkaian tindakan.
“Alih-alih menggunakan metode phishing tradisional, pelaku ancaman mengandalkan saluran Telegram Demi mengirimkan malware. Dalam kampanye sebelumnya, kami juga mengamati operasi ini menggunakan platform pengiriman pesan lain, seperti Skype, sebagai vektor Demi infeksi awal. Metode ini dapat Membangun calon korban lebih cenderung mempercayai pengirim dan membuka file berbahaya daripada dalam kasus situs web phishing. Selain itu, mengunduh file melalui aplikasi pengiriman pesan dapat memicu lebih sedikit peringatan keamanan dibandingkan dengan unduhan internet standar, yang menguntungkan bagi pelaku ancaman,” Terang Peneliti Keamanan Esensial dari GReAT, Kaspersky Maher Yamout.
“Meskipun kami biasanya menyarankan kewaspadaan terhadap email dan tautan yang mencurigakan, kampanye ini menyoroti perlunya kehati-hatian Demi berhadapan bahkan dengan aplikasi pengiriman pesan instan seperti Skype dan Telegram,” lanjutnya.
Selain menggunakan Telegram Demi pengiriman malware, para penyerang juga meningkatkan keamanan operasional dan pembersihan pascakompromi mereka.
Setelah instalasi, malware akan menghapus file yang digunakan Demi menyebarkan implan DarkMe. Demi lebih menghalangi analisis dan mencoba menghindari deteksi, pelaku meningkatkan ukuran file implan dan menghapus jejak lain, seperti file pascaeksploitasi, alat, hingga kunci registri, setelah mencapai tujuan mereka.
Deathstalker, yang sebelumnya dikenal sebagai Decepticons, adalah Grup pelaku ancaman yang aktif setidaknya sejak 2018, dan mungkin sejak 2012.
Grup ini diyakini sebagai Grup tentara bayaran siber atau peretas bayaran, di mana pelaku ancaman tampaknya Mempunyai Member yang kompeten yang mengembangkan perangkat internal, dan memahami ekosistem ancaman persisten yang canggih.
Tujuan Esensial Grup ini adalah mengumpulkan informasi bisnis, keuangan, dan pribadi, mungkin Demi tujuan intelijen bisnis atau kompetitor yang melayani klien mereka.
Mereka biasanya menargetkan bisnis kecil dan menengah, keuangan, fintech, firma hukum, dan dalam beberapa kesempatan, entitas pemerintah.
Meskipun mengincar jenis Sasaran ini, DeathStalker Bukan pernah terlihat melakukan pencurian Anggaran, itulah sebabnya Kaspersky meyakini bahwa Grup ini merupakan Grup intelijen swasta.
Grup ini juga Mempunyai kecenderungan Demi mencoba menghindari atribusi aktivitas mereka dengan meniru pelaku APT lain dan memasukkan tanda-tanda Bajakan.
Demi keamanan pribadi, Kaspersky merekomendasikan langkah-langkah berikut:
- Pasang solusi keamanan tepercaya dan ikuti rekomendasinya. Solusi yang Terjamin akan menyelesaikan sebagian besar masalah secara Mekanis dan memberi Paham Anda Apabila perlu.
- Tetap terinformasi tentang teknik serangan siber baru dapat membantu Anda mengenali dan menghindarinya. Blog keamanan akan membantu Anda Demi tetap waspada terhadap ancaman baru. (Z-1)
