Hardwareholic – Tim Riset dan Analisis Global Kaspersky (GReAT) baru-baru ini mengungkap sebuah kampanye global berbahaya yang melibatkan penggunaan Telegram untuk mengirimkan spyware Trojan. Kampanye ini berpotensi menargetkan individu dan bisnis di industri fintech dan perdagangan, dengan tujuan mencuri data sensitif seperti kata sandi dan mengambil alih perangkat pengguna untuk spionase.

Kampanye ini diduga terkait dengan DeathStalker, sebuah kelompok aktor APT (Advanced Persistent Threat) yang terkenal dan menawarkan layanan peretasan serta intelijen keuangan. Dalam gelombang serangan terbaru yang diamati oleh Kaspersky, aktor ancaman mencoba menginfeksi korban dengan malware DarkMe – Trojan akses jarak jauh (RAT) yang dirancang untuk mencuri informasi dan menjalankan perintah dari server yang dikendalikan oleh pelaku.

Aktor ancaman di balik kampanye ini tampaknya telah menargetkan korban di sektor perdagangan dan fintech, karena indikator teknis menunjukkan bahwa malware kemungkinan didistribusikan melalui saluran Telegram yang berfokus pada topik-topik ini. Kaspersky mencatat bahwa kampanye ini bersifat global, dengan korban yang teridentifikasi di lebih dari 20 negara di Eropa, Asia, Amerika Latin, dan Timur Tengah.

Analisis rantai infeksi mengungkap bahwa penyerang kemungkinan melampirkan arsip berbahaya ke posting di saluran Telegram. Arsip tersebut, seperti file RAR atau ZIP, tidak berbahaya, tetapi dapat menyimpan file berbahaya dengan ekstensi seperti .LNK, .com, dan .cmd. Jika calon korban membuka file ini, maka malware DarkMe akan terinstal melalui serangkaian tindakan.

“Alih-alih menggunakan metode phishing tradisional, pelaku ancaman mengandalkan saluran Telegram untuk menyebarkan malware. Dalam kampanye sebelumnya, kami juga melihat penggunaan platform pengiriman pesan lain, seperti Skype, sebagai vektor infeksi. Metode ini dapat membuat calon korban lebih cenderung mempercayai pengirim dan membuka file berbahaya. Selain itu, mengunduh file melalui aplikasi pengiriman pesan sering kali memicu lebih sedikit peringatan keamanan dibandingkan dengan unduhan dari internet,” jelas Maher Yamout, Peneliti Keamanan Utama di GReAT, Kaspersky.

Para penyerang juga memperkuat keamanan operasional mereka dengan menghapus file yang digunakan untuk menyebarkan implan DarkMe setelah instalasi. Mereka juga berusaha menghindari analisis dan deteksi dengan meningkatkan ukuran file implan serta menghapus jejak lain, termasuk file pasca-eksploitasi dan kunci registri, setelah mencapai tujuan mereka.

DeathStalker, yang sebelumnya dikenal sebagai Decepticons, merupakan kelompok pelaku ancaman yang aktif setidaknya sejak 2018, dan mungkin sejak 2012. Mereka diyakini sebagai kelompok tentara bayaran siber yang memiliki anggota kompeten dalam mengembangkan perangkat internal dan memahami ekosistem ancaman yang canggih. Tujuan utama kelompok ini adalah mengumpulkan informasi bisnis, keuangan, dan pribadi, mungkin untuk tujuan intelijen bisnis atau kompetitif. Kelompok ini biasanya menargetkan bisnis kecil dan menengah, lembaga keuangan, firma hukum, dan kadang-kadang entitas pemerintah.

Kaspersky merekomendasikan langkah-langkah berikut untuk keamanan pribadi:

  • Pasang solusi keamanan tepercaya dan ikuti rekomendasinya. Solusi yang aman akan menyelesaikan sebagian besar masalah secara otomatis dan memberi tahu Anda jika ada yang perlu diperhatikan.
  • Tetap terinformasi tentang teknik serangan siber baru agar dapat mengenali dan menghindarinya. Blog keamanan dapat membantu Anda tetap waspada terhadap ancaman terbaru.

Untuk melindungi diri dari ancaman tingkat lanjut, para pakar keamanan Kaspersky merekomendasikan organisasi untuk:

  • Memberikan visibilitas mendalam tentang ancaman siber kepada profesional InfoSec Anda. Kaspersky Threat Intelligence terbaru akan memberikan konteks yang kaya dan bermakna dalam manajemen insiden dan membantu mengidentifikasi risiko siber secara tepat waktu.
  • Berinvestasi dalam kursus keamanan siber tambahan bagi staf untuk memastikan mereka tetap mendapatkan pengetahuan terbaru. Pelatihan praktis oleh Kaspersky dapat membantu profesional InfoSec meningkatkan keterampilan teknis mereka untuk melindungi perusahaan dari serangan canggih.
  • Gunakan solusi dari lini produk Kaspersky Next untuk melindungi perusahaan dari berbagai ancaman, yang menyediakan perlindungan waktu nyata, visibilitas ancaman, serta kemampuan investigasi dan respons EDR dan XDR untuk organisasi di berbagai skala dan industri.

Dengan langkah-langkah ini, organisasi dapat memperkuat pertahanan mereka terhadap ancaman yang semakin canggih di dunia siber.