Foto: Kaspersky
Beragam cara digunakan oleh para penjahat siber dalam melancarkan aksinya, termasuk menggunakan aplikasi bertukar pesan (chat) Telegram. Tim Riset dan Analisis Global Kaspersky (GreAT) baru-baru ini mengungkap ancaman siber berbahaya menggunakan Telegram untuk mengirimkan spyware Trojan.
Trojan adalah malware yang dirancang untuk mencuri data sensitif seperti kata sandi (password), lalu mengambil alih perangkat pengguna untuk tujuan spionase. Ancaman siber ini ini berpotensi menargetkan individu dan bisnis di industri fintech dan perdagangan.
Ancaman berbahaya untuk sektor perdagangan, keuangan dan perbankan ini diyakini terkait dengan DeathStalker, sebuah kelompok APT (Advanced Persistent Threat) bayaran terkenal yang menawarkan layanan peretasan dan intelijen keuangan khusus.
Metode serangan ini bekerja dengan mencoba untuk menginfeksi perangkat korban menggunakan malware DarkMe, salah satu jenis Trojan yang memiliki kemampuan akses jarak jauh (RAT), untuk mencuri informasi, dan secara otomatis menjalankan perintah jarak jauh dari server yang dikendalikan oleh pelaku.
Target dari serangan malware ini secara spesifik menargetkan korban di sektor perdangan dan fintech melalui Telegram secara global, berdasarkan data Kaspersky yang telah mengindentifikasi korban di lebih dari 20 negara yang ada di wilayah Eropa, Asia, Amerika Latin, dan Timur Tengah.
Ciri-ciri Serangan Malware DarkMe via Telegram
Analisis rantai infeksi mengungkap bahwa penyerang kemungkinan besar melampirkan arsip berbahaya ke posting di saluran Telegram. Arsip itu sendiri, seperti file RAR atau ZIP, tidak berbahaya, tetapi berisi file berbahaya dengan ekstensi seperti .LNK, .com, dan .cmd.
Bila file-file tersebut dibuka, maka malware DarkMe akan langsung terpasang secara otomatis di dalam perangkat, lalu melakukan serangkaian tindakan dan aktivitas berbahaya tanpa sepengetahuan korban.
“Alih-alih menggunakan metode phishing tradisional, pelaku ancaman mengandalkan saluran Telegram untuk mengirimkan malware. Metode ini dapat membuat calon korban lebih cenderung mempercayai pengirim dan membuka file berbahaya daripada dalam kasus situs web phishing,” ungkap Maher Yamout, Peneliti Keamanan Utama dari GReAT, Kaspersky.
Demi keamanan pribadi, Kaspersky merekomendasikan langkah-langkah berikut:
- Pasang solusi keamanan tepercaya dan ikuti rekomendasinya. Solusi yang aman akan menyelesaikan sebagian besar masalah secara otomatis dan memberi tahu Anda jika perlu.
- Tetap terinformasi tentang teknik serangan siber baru dapat membantu Anda mengenali dan menghindarinya. Blog keamanan akan membantu Anda untuk tetap waspada terhadap ancaman baru.
Selain menggunakan Telegram untuk pengiriman malware, para penyerang juga meningkatkan keamanan operasional dan pembersihan pasca-kompromi mereka. Setelah instalasi, malware akan menghapus file yang digunakan untuk menyebarkan implan DarkMe.
Untuk lebih menghalangi analisis dan mencoba menghindari deteksi, pelaku meningkatkan ukuran file implan dan menghapus jejak lain, seperti file pascaeksploitasi, alat, hingga kunci registri, setelah mencapai tujuan mereka.
Serangan ini biasanya menargetkan bisnis kecil dan menengah, keuangan, fintech, firma hukum, dan dalam beberapa kesempatan, entitas pemerintah. Meskipun mengincar jenis target ini, DeathStalker tidak pernah terlihat melakukan pencurian dana, itulah sebabnya Kaspersky meyakini bahwa kelompok ini merupakan kelompok intelijen swasta.