Tim Riset dan Analisis Global Kaspersky (GReAT) baru-baru ini mengungkapkan adanya kampanye siber berbahaya yang dilakukan oleh kelompok kriminal siber yang menggunakan aplikasi Telegram sebagai alat untuk mengirimkan spyware jenis Trojan. Kelompok ini berpotensi menargetkan individu maupun bisnis di industri fintech dan perdagangan, dengan tujuan utama mencuri data-data sensitif seperti kata sandi serta mengendalikan perangkat korban.
Kampanye berbahaya ini menggunakan malware bernama DarkMe, yang merupakan jenis Trojan akses jarak jauh atau Remote Access Trojan (RAT). Malware ini dirancang khusus untuk mencuri informasi penting serta menjalankan perintah dari server yang dikendalikan oleh penyerang. Indikasi menunjukkan bahwa malware ini mungkin disebarkan melalui saluran aplikasi Telegram. Mereka biasanya lebih berfokus pada topik fintech dan perdagangan, sehingga membuatnya lebih menarik bagi calon korban dari sektor-sektor tersebut.
Maher Yamout, Peneliti Keamanan Utama dari GReAT, menyatakan bahwa kampanye ini telah menginfeksi perangkat di lebih dari 20 negara. Fenomena ini termasuk di Eropa, Asia, Amerika Latin, dan Timur Tengah. “Proses infeksi dimulai ketika penyerang mengunggah arsip berbahaya dalam bentuk file RAR atau ZIP ke saluran Telegram. File tersebut tampak aman, tetapi di dalamnya terdapat file berbahaya berformat .LNK, .com, atau .cmd. File-file tersebut dapat menginfeksi perangkat korban saat dijalankan,” jelas Yamout.
Berbeda dengan serangan siber tradisional yang sering menggunakan metode phishing melalui email. Pelaku ancaman dalam kampanye ini memilih menggunakan aplikasi Telegram. Cara ini dianggap lebih efektif karena file yang diunduh melalui aplikasi pesan instan cenderung memicu peringatan keamanan yang lebih sedikit. Sangat berbeda daripada file yang diunduh melalui situs web atau email. Selain itu, banyak pengguna lebih percaya bahwa file yang dibagikan melalui aplikasi perpesanan cenderung lebih aman, sehingga mereka mungkin lebih berani membuka file yang mereka terima.
Apabila pengguna membuka file berbahaya ini, maka perangkat mereka akan terinfeksi DarkMe, yang kemudian dapat mengambil data-data penting dan mengirimkannya ke server yang dikendalikan penyerang. Setelah berhasil menginfeksi perangkat korban, pelaku ancaman juga menghapus file yang digunakan untuk menyebarkan malware. Selain itu mereka akan meningkatkan ukuran file dan menghapus jejak lain seperti kunci registri yang dimodifikasi. Langkah-langkah ini dilakukan untuk menghindari deteksi oleh sistem keamanan yang terpasang di perangkat korban.
DeathStalker, kelompok yang diyakini berada di balik kampanye ini, merupakan kelompok siber yang sudah aktif sejak setidaknya tahun 2018, dan mungkin sudah beroperasi sejak 2012. Sebelumnya, kelompok ini dikenal dengan nama Decepticons. Mereka memiliki ciri khas sebagai “tentara bayaran siber” yang menargetkan bisnis kecil dan menengah, terutama perusahaan di sektor keuangan, fintech, dan hukum. Namun, DeathStalker tidak diketahui mencuri uang dari korbannya, yang menunjukkan bahwa mereka lebih berfokus pada pengumpulan intelijen bisnis atau informasi sensitif.
Kelompok ini diduga melakukan serangan siber untuk mendapatkan informasi penting yang dapat dijual atau digunakan oleh pihak ketiga, yang mungkin bersedia membayar mahal untuk data-data tersebut. Target yang mereka pilih juga menunjukkan bahwa mereka memiliki minat khusus pada sektor keuangan dan hukum, yang sering kali memiliki data klien yang sangat berharga dan sensitif.
Untuk melindungi diri dari ancaman siber yang semakin canggih ini, Kaspersky merekomendasikan beberapa tindakan pencegahan berikut:
Menurut Yamout, penting untuk terus mengedukasi diri dan memperbarui informasi terkait serangan siber terbaru. Dengan langkah-langkah pencegahan yang tepat dan kewaspadaan yang tinggi, pengguna dapat melindungi diri dari ancaman DarkMe dan ancaman siber lainnya yang semakin rumit.
“Baca Juga: Pengguna Media Sosial Threads Capai 275 Juta Pengguna Aktif Bulanan”
