ditphat.net, Jakarta – Tim Penelitian dan Analisis Global (GReAT) Kaspersky telah menemukan kampanye jahat global yang dilakukan oleh penyerang menggunakan Telegram untuk menyebarkan spyware Trojan, yang berpotensi menargetkan individu dan perusahaan di industri fintech dan perdagangan.
Malware ini dirancang untuk mencuri data sensitif, seperti kata sandi, dan mengambil alih perangkat pengguna untuk tujuan mata-mata.
Kampanye ini diyakini terkait dengan DeathStalker, aktor tentara bayaran APT (Ancaman Persisten Tingkat Lanjut) terkenal yang menyediakan layanan peretasan khusus dan intelijen keuangan.
Dalam gelombang serangan terbaru yang diamati oleh Kaspersky, pelaku ancaman berusaha menginfeksi korbannya dengan malware DarkMe, sebuah Trojan akses jarak jauh (RAT) yang dirancang untuk mencuri informasi dan menjalankan perintah jarak jauh dari server yang dikendalikan oleh pelaku.
Pelaku ancaman di balik kampanye ini tampaknya menyasar korban di sektor perusahaan dan fintech, karena indikator teknis menunjukkan bahwa malware tersebut kemungkinan besar didistribusikan melalui saluran Telegram yang berfokus pada topik-topik tersebut.
Kampanye ini bersifat global dan Kaspersky telah mengidentifikasi korban di lebih dari 20 negara di Eropa, Asia, Amerika Latin, dan Timur Tengah.
Analisis rantai infeksi menunjukkan bahwa penyerang kemungkinan besar melampirkan file berbahaya ke postingan di saluran Telegram. File terkompresi seperti file RAR atau ZIP tidak berbahaya, tetapi berisi file berbahaya dengan ekstensi .LNK, .com, dan .cmd.
Jika calon korban meluncurkan file ini, serangkaian tindakan akan mengarah pada instalasi malware DarkMe pada tahap akhir.
Alih-alih menggunakan metode phishing tradisional, pelaku ancaman mengandalkan saluran Telegram untuk mendistribusikan malware.
Dalam kampanye sebelumnya, operasi ini menggunakan platform pengiriman pesan lain, seperti Skype, sebagai vektor infeksi awal.
Metode ini dapat membuat calon korban lebih mempercayai pengirim dan membuka file berbahaya dibandingkan situs web phishing.
Selain itu, pengunduhan file melalui aplikasi perpesanan mungkin menghasilkan lebih sedikit peringatan keamanan dibandingkan pengunduhan Internet standar, yang merupakan keuntungan bagi pelaku ancaman.
“Meskipun secara umum kami menyarankan untuk berhati-hati terhadap email dan tautan yang mencurigakan, kampanye ini menyoroti perlunya kehati-hatian ketika berhadapan dengan aplikasi perpesanan seperti Skype dan Telegram,” kata Maher Yamout, peneliti keamanan senior di Kaspersky.
Selain menggunakan Telegram untuk mendistribusikan malware, penyerang juga telah meningkatkan keamanan operasional dan kemampuan pembersihan pasca-kompromi. Setelah terinstal, malware menghapus file yang digunakan untuk menyebarkan implan DarkMe.
Untuk mempersulit analisis dan mencoba menghindari deteksi, penjahat meningkatkan ukuran file yang ditanamkan dan menghapus jejak lain seperti file pasca-eksploitasi, alat, dan bahkan entri registri setelah mencapai tujuannya.
Deathstalker, yang sebelumnya dikenal sebagai Decepticons, adalah kelompok ancaman yang telah aktif setidaknya sejak tahun 2012.
Kelompok tersebut diyakini merupakan sekelompok tentara bayaran dunia maya atau peretas sewaan, dan pelaku ancaman tampaknya memiliki anggota yang kompeten yang telah mengembangkan alat internal dan memahami ekosistem ancaman persisten yang canggih.
Tujuan utama organisasi ini adalah mengumpulkan informasi bisnis, keuangan, dan pribadi, mungkin untuk melayani tujuan bisnis atau intelijen kompetitif kliennya.
Mereka biasanya menargetkan UKM, keuangan, fintech, firma hukum, dan terkadang entitas pemerintah.
Meskipun menargetkan jenis target ini, DeathStalker tidak pernah ditemukan mencuri dana, itulah sebabnya Kaspersky menganggap kelompok tersebut sebagai organisasi intelijen swasta.
Kelompok-kelompok ini juga cenderung menghindari atribusi terhadap kegiatan mereka dengan meniru pelaku APT lain dan memasukkan sinyal-sinyal palsu.