Criminelen gebruiken Telegram om Trojan spyware af te leveren, mogelijk gericht op personen en bedrijven in de fintech- en handelssector. Dat zeggen onderzoekers van Kaspersky. De malware lijkt ontworpen om gevoelige gegevens zoals wachtwoorden te stelen en de controle over apparaten van gebruikers over te nemen voor spionagedoeleinden.
De campagne is volgens de onderzoekers vermoedelijk gelinkt aan DeathStalker, een beruchte hack-for-hire APT (Advanced Persistent Threat), gespecialiseerd op het gebied van hacking en financiële inlichtingen. In de door Kaspersky waargenomen recente golf van aanvallen probeerden aanvallers slachtoffers te infecteren met DarkMe-malware,een remote access Trojan (RAT), dat is ontworpen om informatie te stelen en opdrachten op afstand uit te voeren vanaf een server die door de daders wordt beheerd.
De aanvallers lijken zich te hebben gericht op slachtoffers in de handels- en fintech-sectoren, aangezien de malware waarschijnlijk werd verspreid via Telegram-kanalen die zich op deze onderwerpen richten. Kaspersky heeft slachtoffers geïdentificeerd in meer dan 20 landen in Europa, Azië, Latijns-Amerika en het Midden-Oosten.
Archief-bestanden
Uit de analyse van de infectieketen blijkt dat de aanvallers hoogstwaarschijnlijk schadelijke archieven bij berichten in Telegram-kanalen voegden. De archieven zoals RAR- of ZIP-bestanden waren zelf niet kwaadaardig, maar ze bevatten schadelijke bestanden met extensies als .LNK, .com en .cmd. Als potentiële slachtoffers deze bestanden lanceerden, leidde dit in een reeks acties tot de installatie van de eindstadium-malware, DarkMe.
“In plaats van traditionele phishingmethoden te gebruiken, vertrouwden aanvallers op Telegram-kanalen om de malware af te leveren. In eerdere campagnes hebben we ook gezien dat deze operatie andere berichtenplatforms, zoals Skype, gebruikte voor de initiële infectie. Deze methode kan ervoor zorgen dat potentiële slachtoffers eerder geneigd zijn om de afzender te vertrouwen en het schadelijke bestand te openen dan in het geval van een phishingwebsite. Bovendien kan het downloaden van bestanden via messaging-apps minder beveiligingswaarschuwingen genereren dan bij standaard internetdownloads, wat gunstig is voor de criminelen,” legt Maher Yamout, Lead Security Researcher van Kaspersky, uit.
Sporen gewist
Naast het gebruik van Telegram voor de levering van malware, verbeterden de aanvallers hun operationele beveiliging en opruiming na de besmetting. Na de installatie verwijderde de malware de bestanden die werden gebruikt om het DarkMe-implantaat in te zetten. Om analyse verder te bemoeilijken en detectie te ontwijken, vergrootten de daders de bestandsgrootte van het implantaat en verwijderden ze andere sporen, zoals post-exploitatiebestanden, tools en registersleutels, nadat ze hun doel hadden bereikt.
Deathstalker, voorheen bekend als Deceptikons, is een groep die actief is sinds ten minste 2018 en mogelijk sinds 2012. Er wordt aangenomen dat het een cyber mercenary- of hacker-for-hire-groep is waarbij ze competente leden lijken te hebben die in-house toolsets ontwikkelen en het ecosysteem van APT’s begrijpen. Het primaire doel van de groep is het verzamelen van zakelijke, financiële en persoonlijke informatie, mogelijk voor concurrerende of zakelijke informatie ten behoeve van hun klanten. Ze richten zich meestal op kleine en middelgrote bedrijven, financiële en fintechbedrijven, advocatenkantoren en in enkele gevallen op overheidsinstanties. Ondanks het feit dat ze achter dit soort doelen aanzitten, is DeathStalker nog nooit gezien bij het stelen van geld, daarom gelooft Kaspersky dat het een privé-inlichtingendienst is. De groep heeft ook de interessante neiging om te proberen toeschrijving van hun activiteiten te voorkomen door andere APT-actoren na te bootsen en false flags te gebruiken.