Serangan Telegram Bidik Pengguna Fintech, Hati-hati!

Tim Riset dan Analisis Global Kaspersky (GReAT) baru-baru ini mengungkapkan adanya kampanye siber yang berpotensi mengancam pengguna sektor fintech dan perdagangan. Kampanye ini menggunakan aplikasi pesan instan Telegram sebagai media untuk menyebarkan spyware jenis Trojan yang bertujuan mencuri data penting dan mengambil alih kendali perangkat korban. Target serangan mencakup individu hingga perusahaan yang beroperasi dalam bidang keuangan dan perdagangan.

Penyerangan ini diduga berasal dari kelompok bernama DeathStalker, aktor ancaman yang terkenal sebagai kelompok APT (Advanced Persistent Threat) bayaran. DeathStalker dikenal menawarkan layanan intelijen keuangan untuk klien tertentu. Kali ini, mereka menggunakan malware jenis DarkMe, yaitu Trojan akses jarak jauh atau Remote Access Trojan (RAT), yang memungkinkan mereka mengakses informasi sensitif dan menjalankan perintah dari jarak jauh pada perangkat yang terinfeksi.

DeathStalker memfokuskan serangan ini pada pengguna sektor fintech dan perdagangan dengan strategi yang unik. Kaspersky menemukan bahwa malware ini didistribusikan melalui saluran Telegram yang berisi diskusi terkait keuangan dan investasi. Penggunaan Telegram sebagai saluran distribusi malware adalah teknik yang jarang digunakan, karena biasanya serangan siber lebih sering menggunakan metode phishing tradisional melalui email atau situs web palsu. Dengan pendekatan ini, penyerang dapat memanfaatkan kepercayaan pengguna terhadap aplikasi pesan instan untuk menyembunyikan niat jahat mereka.

Metode penyebaran malware ini cukup cerdik. Dalam serangannya, DeathStalker membagikan file arsip, seperti RAR atau ZIP, di saluran Telegram yang tampak biasa saja. Namun, di dalam arsip tersebut terdapat file berbahaya dengan ekstensi seperti .LNK, .com, atau .cmd. Ketika korban membuka file tersebut, sistem secara otomatis mengunduh dan menginstal DarkMe ke perangkat mereka tanpa disadari. Setelah malware berhasil terinstal, penyerang dapat mengakses perangkat korban, mencuri data, dan bahkan mengoperasikan perangkat tersebut dari jarak jauh. Teknik ini membuat serangan lebih sulit dideteksi karena arsip tidak langsung teridentifikasi sebagai ancaman.

Menurut Maher Yamout, Peneliti Keamanan Utama dari GReAT, cara yang digunakan DeathStalker sangat efektif. Ia menyebutkan bahwa menggunakan Telegram sebagai media pengiriman malware meminimalkan potensi deteksi keamanan dibandingkan dengan unduhan dari situs web biasa. Aplikasi pesan instan juga lebih sulit diawasi oleh banyak sistem keamanan digital, sehingga calon korban sering kali tidak curiga.

Setelah malware DarkMe terinstal, DeathStalker meningkatkan keamanan operasional mereka dengan membersihkan jejak serangan. File yang digunakan untuk menyebarkan malware segera dihapus dari perangkat korban, dan penyerang juga menghilangkan file-file tambahan seperti alat pasca-eksploitasi dan kunci registri yang mungkin bisa menjadi petunjuk bagi tim keamanan untuk melacak mereka. Langkah ini menunjukkan bahwa DeathStalker memiliki keterampilan teknis yang mumpuni dan kemampuan untuk menyembunyikan jejaknya dengan baik, sehingga menyulitkan analis keamanan untuk melacak asal usul serangan ini.

DeathStalker sendiri bukanlah aktor ancaman baru. Mereka telah beroperasi sejak 2012, dan selama bertahun-tahun, mereka semakin terampil dalam mengembangkan metode penyerangan yang rumit. Kelompok ini sering kali berperan sebagai tentara bayaran siber, di mana mereka tidak bertujuan mencuri dana tetapi lebih fokus pada pengumpulan informasi bisnis, keuangan, dan pribadi yang dapat digunakan untuk kepentingan intelijen. Target utama mereka adalah perusahaan kecil dan menengah, terutama di sektor keuangan, fintech, dan hukum. Mereka juga pernah beberapa kali menargetkan entitas pemerintah, meskipun kasusnya relatif sedikit.

Kelompok ini diketahui cukup cerdik dalam mengelabui sistem. Dalam beberapa kasus, mereka berusaha menghindari atribusi dengan meniru teknik dan tanda-tanda yang digunakan oleh aktor APT lainnya. Dengan demikian, peneliti keamanan kadang kesulitan mengidentifikasi serangan DeathStalker secara spesifik, karena tanda-tanda yang ditemukan bisa mirip dengan serangan dari kelompok lain.

Untuk melindungi diri dari serangan seperti ini, Kaspersky menyarankan beberapa langkah penting. Pertama, pastikan perangkat dilengkapi dengan solusi keamanan yang andal dan selalu mengikuti rekomendasi perlindungannya. Solusi keamanan yang baik dapat secara otomatis mendeteksi dan mencegah serangan semacam ini sebelum mencapai perangkat pengguna. Kedua, penting untuk terus memperbarui informasi tentang ancaman siber terbaru. Dengan mengikuti perkembangan teknik serangan yang digunakan para penyerang, pengguna dapat lebih waspada dan menghindari potensi risiko.

Kampanye DeathStalker menunjukkan bahwa bahkan aplikasi pesan instan seperti Telegram bisa dimanfaatkan untuk kegiatan peretasan. Dengan strategi yang cerdik dan teknik penyamaran yang baik, mereka mampu menargetkan korban secara efektif. Pengguna di sektor keuangan dan perdagangan perlu meningkatkan kewaspadaan dan selalu memperbarui pengetahuan mereka tentang keamanan siber agar terhindar dari ancaman yang kian berkembang ini.