Kaspersky ontdekt schadelijke Telegramcampagne gericht op fintech-gebruikers
Het Kaspersky Global Research and Analysis team (GReAT) heeft een kwaadaardige wereldwijde campagne ontdekt waarbij aanvallers Telegram gebruikten om Trojan spyware af te leveren, mogelijk gericht op personen en bedrijven in de fintech- en handelssector. De malware is ontworpen om gevoelige gegevens zoals wachtwoorden te stelen en de controle over apparaten van gebruikers over te nemen voor spionagedoeleinden.
De campagne is vermoedelijk gelinkt aan DeathStalker, een beruchte hack-for-hire APT (Advanced Persistent Threat), gespecialiseerd op het gebied van hacking en financiële inlichtingen. In de door Kaspersky waargenomen recente golf van aanvallen probeerden aanvallers de apparaten van slachtoffers te infecteren met DarkMe-malware - een remote access Trojan (RAT), dat is ontworpen om informatie te stelen en opdrachten op afstand uit te voeren vanaf een server die de daders beheren.
De aanvallers lijken zich te hebben gericht op slachtoffers in de handels- en fintech-sectoren, aangezien de malware waarschijnlijk werd verspreid via Telegram-kanalen die zich op deze onderwerpen richten. Kaspersky heeft slachtoffers geïdentificeerd in meer dan twintig landen in Europa, Azië, Latijns-Amerika en het Midden-Oosten.
Uit de analyse van de infectieketen blijkt dat de aanvallers hoogstwaarschijnlijk schadelijke archieven toevoegden aan berichten in Telegramkanalen. De archieven zoals RAR- of ZIP-bestanden waren zelf niet kwaadaardig, maar ze bevatten schadelijke bestanden met extensies als .LNK, .com en .cmd. Als potentiële slachtoffers deze bestanden openden, leidde dit in een reeks acties tot de installatie van de eindstadium-malware, DarkMe.
“In plaats van traditionele phishingmethoden te gebruiken, gebruikten aanvallers Telegram-kanalen om de malware af te leveren. In eerdere campagnes hebben we ook gezien dat deze operatie andere berichtenplatforms, zoals Skype, gebruikte voor de initiële infectie. Deze methode kan ervoor zorgen dat potentiële slachtoffers eerder geneigd zijn om de afzender te vertrouwen en het schadelijke bestand te openen dan in het geval van een phishing website. Bovendien kan het downloaden van bestanden via messaging-apps minder beveiligingswaarschuwingen genereren dan bij standaard internetdownloads, wat gunstig is voor de criminelen,” legt Maher Yamout uit, Lead Security Researcher van GReAT bij Kaspersky. “Hoewel we normaal gesproken adviseren om waakzaam te zijn voor verdachte e-mails en links, benadrukt deze campagne de noodzaak om voorzichtig te zijn met instant messaging apps zoals Skype en Telegram.”
Naast het gebruik van Telegram voor de levering van malware, verbeterden de aanvallers hun operationele beveiliging en opruiming na de besmetting. Na de installatie verwijderde de malware de bestanden die werden gebruikt om het DarkMe-implantaat in te zetten. Om analyse verder te bemoeilijken en detectie te ontwijken, vergrootten de daders de bestandsgrootte en verwijderden ze andere sporen, zoals post-exploitatiebestanden, tools en registersleutels, nadat ze hun doel hadden bereikt.
Deathstalker, voorheen bekend als Deceptikons, is een groep die actief is sinds ten minste 2018 en mogelijk sinds 2012. Er wordt aangenomen dat het een cyber mercenary- of hacker-for-hire-groep is die competente leden lijkt te hebben om in-house toolsets te ontwikkelen en het ecosysteem van APT’s te begrijpen. Het primaire doel van de groep is het verzamelen van zakelijke, financiële en persoonlijke informatie, mogelijk om concurrerende of zakelijke informatie te verkrijgen voor hun klanten. Ze richten zich meestal op KMO's, financiële en fintechbedrijven, advocatenkantoren en in enkele gevallen op overheidsinstanties. Ondanks het feit dat ze achter dit soort doelen aanzitten, is DeathStalker nog nooit gezien bij het stelen van geld. Daarom gelooft Kaspersky dat het een privé-inlichtingendienst is.
Tot slot probeert de groep om hun activiteiten te verbergen door zich voor te doen als andere APT-actoren en false flags te gebruiken.