Telegram-Kanäle für Spyware-Verbreitung missbraucht
Eine neue, weltweite Spionagekampagne zielt auf die Finanz- und Trading-Branche und bedroht Unternehmen und Privatpersonen gleichermaßen. Über scheinbar harmlose Telegram-Kanäle zu Finanzthemen verbreiten die Angreifer eine Trojaner-Spyware, die unbemerkt sensible Daten abgreift. Sicherheitsexperten sehen hinter der Aktion den berüchtigten „Hack-for-Hire“-Akteur DeathStalker, der sich gezielt auf die Finanzwelt spezialisiert hat und bereits mehrfach mit ähnlichen Kampagnen auffiel.
Laut den neuesten Telemetriedaten des Global Research and Analysis Teams von Kaspersky (GReAT) zielt eine gefährliche globale Kampagne auf Nutzer in 20 Ländern ab, darunter Deutschland und Österreich. Bei einer jüngsten Angriffswelle haben die Bedrohungsakteure versucht, ihre Ziele über Telegram-Kanäle, die sich mit Finanzthemen befassen, mit der Malware DarkMe zu infizieren. DarkMe ist ein Remote-Access-Trojaner (RAT), der in der Lage ist, Informationen zu stehlen und Befehle von einem unter Kontrolle der Angreifer stehenden Server auszuführen.
Infektionsweg über schädliche Dateien in Telegram-Posts
Die Infektion beginnt mit einer geschickten Kette aus schädlichen LNK-, COM- und CMD-Dateien, die in Archive wie RAR oder ZIP verpackt sind. Diese Archive werden dann als Anhänge in Telegram-Posts der Angreifer verbreitet. Nach erfolgreicher Installation entfernt die Malware die Dateien, die zur Bereitstellung des DarkMe-Implantats notwendig sind, vergrößert das Implantat selbst und beseitigt alle Spuren, die auf eine mögliche Malware-Infektion hinweisen könnten. Diese ausgeklügelte Taktik macht es extrem schwierig, den Angriff zu erkennen und zu stoppen, was die Bedrohung für die betroffenen Nutzer erheblich verstärkt.
Bekannter APT-Akteur vermutlich Drahtzieher: DeathStalker
Die Cyber-Experten von Kaspersky hegen den Verdacht, dass hinter den jüngsten Angriffen die berüchtigte Bedrohungsgruppe DeathStalker steht, die früher unter dem Namen Deceptikons bekannt war. Diese Cyber-Söldner sind seit mindestens 2018 aktiv, möglicherweise sogar schon seit 2012, und entwickeln eigene Toolsets. DeathStalker hat sich einen Ruf als APT-Experte (Advanced Persistent Threat) erarbeitet, dessen Hauptziel das Sammeln von Unternehmens-, Finanz- und persönlichen Daten ist, um ihren Auftraggebern wertvolle Wettbewerbsvorteile zu verschaffen. Besonders ins Visier genommen werden dabei kleine und mittlere Unternehmen, Akteure der Finanz- und Fintech-Branche, Anwaltskanzleien sowie gelegentlich Regierungsstellen. Bemerkenswert ist, dass es bislang keine Hinweise auf einen Gelddiebstahl gibt, was Kaspersky zu der Einschätzung veranlasst, DeathStalker als nichtstaatliche Geheimorganisation einzustufen, die großen Wert auf die Verschleierung ihrer Aktivitäten legt und häufig unter falscher Flagge operiert.
Telegram als bevorzugter Infektionsvektor
„Die Bedrohungsakteure haben sich von traditionellen Phishing-Methoden abgewandt und nutzen nun Telegram-Kanäle zur Verbreitung ihrer Malware“, erklärt Maher Yamout, Lead Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky. „Bereits in früheren Kampagnen konnten wir beobachten, dass Messaging-Plattformen wie Skype als Infektionsvektoren verwendet wurden. Im Gegensatz zu Phishing-Websites neigen potenzielle Opfer hier dazu, den Absendern zu vertrauen und öffnen schädliche Dateien eher. Zudem löst das Herunterladen von Dateien über Messenger-Apps weniger Sicherheitswarnungen aus als bei herkömmlichen Internet-Downloads. Das kommt den Angreifern sehr entgegen. Nutzer sollten daher besonders vorsichtig mit Nachrichten und Links umgehen – dies gilt auch für Instant-Messaging-Apps wie Skype und Telegram.“
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
