Liputan6.com, Jakarta - Tim Riset dan Analisis Global Kaspersky (GReAT) baru-baru ini mengungkapkan kampanye siber berbahaya yang dilakukan oleh kelompok penjahat siber dengan menggunakan Telegram sebagai media untuk mengirimkan spyware Trojan.
Kampanye ini berpotensi menargetkan individu dan bisnis di industri fintech dan perdagangan, dengan tujuan utama mencuri data sensitif seperti kata sandi dan mengendalikan perangkat pengguna.
Advertisement
Menurut Kaspersky, kampanye ini terkait dengan DeathStalker, sebuah kelompok ancaman tingkat lanjut atau Advanced Persistent Threat (APT) yang dikenal menawarkan layanan peretasan dan intelijen keuangan.
Dalam serangan terbaru yang diamati, kelompok ini menggunakan malware bernama DarkMe. Malware ini adalah jenis Trojan akses jarak jauh (RAT) yang dirancang untuk mencuri informasi dan menjalankan perintah dari server yang dikendalikan oleh pelaku ancaman.
Aktor ancaman di balik kampanye ini tampaknya menargetkan sektor perdagangan dan fintech secara khusus.
Indikator teknis menunjukkan bahwa malware ini kemungkinan didistribusikan melalui saluran Telegram yang berfokus pada topik fintech dan perdagangan.
Menurut Maher Yamout, Peneliti Keamanan Utama dari GReAT, Kaspersky, kampanye ini bersifat global, dengan korban yang teridentifikasi di lebih dari 20 negara di Eropa, Asia, Amerika Latin, dan Timur Tengah.
"Proses infeksi dimulai ketika penyerang melampirkan arsip berbahaya ke posting-an di saluran Telegram. Arsip ini mungkin tampak tidak berbahaya, seperti file RAR atau ZIP, tetapi di dalamnya terdapat file berbahaya dengan ekstensi .LNK, .com, atau .cmd," katanya, dikutip dari keterangan resmi Kaspersky, Rabu (6/11/2024).
Malware Diinstal Saat Pengguna Luncurkan File
Jika calon korban meluncurkan file-file ini, maka akan terjadi pemasangan malware tahap akhir, DarkMe, yang berpotensi membahayakan perangkat mereka.
Alih-alih menggunakan metode phishing tradisional, pelaku ancaman mengandalkan saluran Telegram untuk mengirimkan malware, jelas Yamout.
Metode ini dapat membuat calon korban lebih cenderung mempercayai pengirim dan membuka file berbahaya, karena mengunduh file melalui aplikasi pengiriman pesan dapat memicu lebih sedikit peringatan keamanan dibandingkan dengan unduhan internet standar.
"Setelah malware diinstal, pelaku ancaman berusaha meningkatkan keamanan operasional mereka dengan menghapus file yang digunakan untuk menyebarkan implan DarkMe," kata Yamout.
Mereka juga meningkatkan ukuran file implan dan menghapus jejak lain seperti file pascaeksploitasi dan kunci registri untuk menghindari deteksi.
Advertisement
Tentang DeathStalker
DeathStalker, yang sebelumnya dikenal sebagai Decepticons, telah aktif setidaknya sejak 2018 dan mungkin sejak 2012.
Kelompok ini diyakini sebagai tentara bayaran siber yang menargetkan bisnis kecil dan menengah, firma keuangan dan fintech, serta firma hukum.
Meskipun menargetkan entitas ini, DeathStalker tidak pernah terlihat mencuri dana, yang menunjukkan bahwa mereka lebih berfokus pada pengumpulan intelijen bisnis.
Untuk melindungi diri dari ancaman ini, Kaspersky merekomendasikan beberapa langkah, termasuk memasang solusi keamanan tepercaya dan tetap terinformasi tentang teknik serangan siber terbaru.
Blog keamanan akan membantu Anda untuk tetap waspada terhadap ancaman baru, tambah Yamout. Dengan kewaspadaan dan tindakan pencegahan yang tepat, pengguna dapat melindungi diri dari ancaman siber yang semakin canggih ini.