Spyware gericht op fintech en handelssector verspreid via Telegram
Aanvallers zetten Telegram in voor de verspreiding van trojan-spyware. Deze malware is specifiek gericht op personen en bedrijven in de fintech- en handelssector, met als doel toegang te krijgen tot gevoelige informatie, zoals wachtwoorden, en volledige controle over gebruikersapparaten voor spionagedoeleinden.
Hiervoor waarschuwt het Kaspersky Global Research and Analysis-team. De aanval is vermoedelijk het werk van DeathStalker, een bekende hack-for-hire groep die zich specialiseert in het verzamelen van financiële inlichtingen. In deze recente aanvalsgolven probeerden de aanvallers slachtoffers te infecteren met DarkMe-malware, een remote access Trojan (RAT), die ontworpen is om gegevens te stelen en op afstand opdrachten uit te voeren vanaf servers onder hun controle.
Handels- en fintechsector is doelwit
De focus van de aanvallers ligt vermoedelijk op de handels- en fintech-sector, met als ingang Telegram-kanalen die deze thema’s behandelen. Slachtoffers van de campagne zijn aangetroffen in meer dan 20 landen, verspreid over Europa, Azië, Latijns-Amerika en het Midden-Oosten.
De analyse van de aanvalsmethode toont dat de aanvallers waarschijnlijk schadelijke bestanden als RAR- of ZIP-archieven toevoegden aan Telegram-berichten. Hoewel de archieven zelf niet schadelijk waren, bevatten ze geïnfecteerde bestanden (.LNK, .com, .cmd) die, wanneer geopend, de installatie van DarkMe-malware activeerden.
“In plaats van traditionele phishingmethoden te gebruiken, vertrouwden aanvallers op Telegram-kanalen om de malware af te leveren. In eerdere campagnes hebben we ook gezien dat deze operatie andere berichtenplatforms, zoals Skype, gebruikte voor de initiële infectie. Deze methode kan ervoor zorgen dat potentiële slachtoffers eerder geneigd zijn om de afzender te vertrouwen en het schadelijke bestand te openen dan in het geval van een phishingwebsite. Bovendien kan het downloaden van bestanden via messaging-apps minder beveiligingswaarschuwingen genereren dan bij standaard internetdownloads, wat gunstig is voor de criminelen,” legt Maher Yamout, Lead Security Researcher van GReAT, uit. “Hoewel we normaal gesproken adviseren om waakzaam te zijn voor verdachte e-mails en links, benadrukt deze campagne de noodzaak om voorzichtig te zijn met instant messaging apps zoals Skype en Telegram.”
Sporen wissen
Naast Telegram-gebruik voor malwareverspreiding hebben de aanvallers hun technieken aangescherpt door sporen te wissen na de installatie van de malware. Na infectie verwijderde de malware de gebruikte bestanden om DarkMe te installeren en werden verdere bestanden en tools gewist om detectie en analyse te bemoeilijken.
DeathStalker, ook bekend als Deceptikons, is een cyber mercenary-groep die sinds ten minste 2018 actief is, en mogelijk al sinds 2012. De groep richt zich op het verzamelen van zakelijke, financiële en persoonlijke informatie, waarschijnlijk voor klanten in de zakenwereld. Ze mikken vaak op kleine en middelgrote bedrijven, financiële instellingen, fintechbedrijven en advocatenkantoren, maar worden niet in verband gebracht met directe diefstal van geld.
Misleidende technieken
Om detectie te vermijden, maakt DeathStalker soms gebruik van misleidende technieken, zoals het nabootsen van andere hacker-groepen en het opzetten van "false flags" om verwarring te zaaien over hun identiteit.