Telegram Malware-Kampagne zielt mit “DarkMe” Trojaner auf FinTech-Nutzer ab

Kaspersky warnt vor einer weltweiten Spionage-Kampagne, die sich gegen die FinTech- und Trading-Branche richtet. Betroffen seien sowohl Unternehmen als auch Einzelpersonen. Dabei würden die Bedrohungsakteure Telegram-Kanäle mit Finanzthemen zur Verbreitung einer Trojaner-Spyware nutzen. Das Global Research and Analysis Team von Kaspersky (GReAT) vermute hinter der Kampagne den Hack-for-Hire-APT-Akteur DeathStalker.

Spezifisch richte sich die Kampagne gegen Nutzer in 20 Ländern, darunter in Europa auch Deutschland und Österreich. Bei der jüngst beobachteten Angriffswelle hätten die Bedrohungsakteure versucht, ihre Opfer mit der Malware DarkMe über Telegram-Kanäle, die sich mit Finanzthemen beschäftigen, zu infizieren. Bei DarkMe handele es sich um einen Remote-Access-Trojaner (RAT), der Informationen stehle und Remote-Befehle ausführe, die von einem unter Täter-Kontrolle stehenden Server stammen würden.

Die Installation der Malware sei das Ende einer Infektionskette, die höchstwahrscheinlich mit schädlichen LNK-, COM- und CMD-Dateien erfolge. Sie seien in ein Dateiarchiv verpackt wie zum Beispiel RAR oder ZIP, das wiederum Anhang eines Telegram-Posts der Angreifer sei. Nach erfolgreicher Installation entferne die Malware die zur Bereitstellung des DarkMe-Implantats benötigten Dateien, vergrößere das Implantat und lösche weitere Spuren, die auf eine Malware-Infektion hindeuten könnten.

Schon in früheren Kampagnen konnten wir beobachten, dass Messaging-Plattformen wie Skype als Infektionsvektoren dienten. Anders als bei Phishing-Websites vertrauen potenzielle Opfer hier eher den Absendern und öffnen schädliche Dateien. Zudem löst das Herunterladen von Dateien über Messenger-Apps weniger Sicherheitswarnungen aus als ein normaler Internet-Download. Das spielt den Bedrohungsakteuren zusätzlich in die Hände. Nutzer sollten daher bei Nachrichten und Links besonders wachsam sein – dies schließt auch Instant-Messaging-Apps wie Skype und Telegram ein.“

Maher Yamout, Lead Security Researcher GReAT bei Kaspersky

APT DeathStalker vermutlich für Angriffe verantwortlich

Hinter den Angriffen wird aktuell der Akteur DeathStalker (früher Deceptikons) vermutet; eine Cyber-Söldner- und Hack-for-Hire-Gruppe, die mindestens seit dem Jahr 2018, möglicherweise bereits seit 2012, aktiv sei. DeathStalker entwickele eigene Toolsets und gelte als APT-Experte. Hauptziel sei das Sammeln von Unternehmens-, Finanz- und persönlichen Daten für die jeweiligen Auftraggeber, die sich davon wohl Wettbewerbsvorteile versprechen. Angegriffen würden vorwiegend kleine und mittlere Unternehmen, Finanz- und FinTech-Akteure sowie Anwaltskanzleien und – vereinzelt – auch Regierungsstellen. Da noch nie ein Diebstahl von Geldern beobachtet wurde, stufe Kaspersky (Website) DeathStalker als eine nichtstaatliche Geheimorganisation ein, die zudem großen Wert auf die Verschleierung ihrer Aktionen lege und gerne unter falscher Flagge operiere.ft