Tim Riset dan Analisis Global Kaspersky (GReAT) baru-baru ini mengungkapkan kampanye siber berbahaya yang dilakukan oleh kelompok penjahat siber dengan menggunakan Telegram sebagai media untuk mengirimkan spyware Trojan. Kampanye ini berpotensi menargetkan individu dan bisnis di industri fintech dan perdagangan, dengan tujuan utama mencuri data sensitif seperti kata sandi dan mengendalikan perangkat pengguna. Menurut Kaspersky, kampanye ini terkait dengan DeathStalker, sebuah kelompok ancaman tingkat lanjut atau Advanced Persistent Threat (APT) yang dikenal menawarkan layanan peretasan dan intelijen keuangan.
Dalam serangan terbaru yang diamati, kelompok ini menggunakan malware bernama DarkMe. Malware ini adalah jenis Trojan akses jarak jauh (RAT) yang dirancang untuk mencuri informasi dan menjalankan perintah dari server yang dikendalikan oleh pelaku ancaman. Aktor ancaman di balik kampanye ini tampaknya menargetkan sektor perdagangan dan fintech secara khusus. Indikator teknis menunjukkan bahwa malware ini kemungkinan didistribusikan melalui saluran Telegram yang berfokus pada topik fintech dan perdagangan.
Menurut Maher Yamout, Peneliti Keamanan Utama dari GReAT, Kaspersky, kampanye ini bersifat global, dengan korban yang teridentifikasi di lebih dari 20 negara di Eropa, Asia, Amerika Latin, dan Timur Tengah. “Proses infeksi dimulai ketika penyerang melampirkan arsip berbahaya ke posting-an di saluran Telegram. Arsip ini mungkin tampak tidak berbahaya, seperti file RAR atau ZIP, tetapi di dalamnya terdapat file berbahaya dengan ekstensi .LNK, .com, atau .cmd,” katanya, dikutip dari keterangan resmi Kaspersky, Rabu (6/11/2024).
Jika calon korban meluncurkan file-file ini, maka akan terjadi pemasangan malware tahap akhir, DarkMe, yang berpotensi membahayakan perangkat mereka. Alih-alih menggunakan metode phishing tradisional, pelaku ancaman mengandalkan saluran Telegram untuk mengirimkan malware, jelas Yamout. Metode ini dapat membuat calon korban lebih cenderung mempercayai pengirim dan membuka file berbahaya, karena mengunduh file melalui aplikasi pengiriman pesan dapat memicu lebih sedikit peringatan keamanan dibandingkan dengan unduhan internet standar.
“Setelah malware diinstal, pelaku ancaman berusaha meningkatkan keamanan operasional mereka dengan menghapus file yang digunakan untuk menyebarkan implan DarkMe,” kata Yamout. Mereka juga meningkatkan ukuran file implan dan menghapus jejak lain seperti file pascaeksploitasi dan kunci registri untuk menghindari deteksi.