Infografis
"Dalam serangan siber sebelumnya, kami juga mengamati operasi ini menggunakan platform pengiriman pesan lain, seperti Skype, sebagai vektor untuk infeksi awal," katanya dalam keterangan resminya, Senin (4/11/2024).
Menurutnya, metode ini dapat membuat calon korban lebih cenderung mempercayai pengirim dan membuka file berbahaya daripada dalam kasus situs web phishing.
"Selain itu, mengunduh file melalui aplikasi pengiriman pesan dapat memicu lebih sedikit peringatan keamanan dibandingkan dengan unduhan internet standar, yang menguntungkan bagi pelaku ancaman,” jelas dia.
Maher Yamout, melihat bahwa meskipun biasanya menyarankan kewaspadaan terhadap email dan tautan yang mencurigakan, kampanye ini menyoroti perlunya kehati-hatian saat berhadapan bahkan dengan aplikasi pengiriman pesan instan seperti Skype dan Telegram.
Selain menggunakan Telegram untuk pengiriman malware, para hacker juga meningkatkan keamanan operasional dan pembersihan pasca-kompromi mereka.
Setelah instalasi, malware akan menghapus file yang digunakan untuk menyebarkan implan DarkMe.
Untuk lebih menghalangi analisis dan mencoba menghindari deteksi, pelaku meningkatkan ukuran file implan dan menghapus jejak lain, seperti file pascaeksploitasi, alat, hingga kunci registri, setelah mencapai tujuan mereka.
Deathstalker, yang sebelumnya dikenal sebagai Decepticons, adalah kelompok pelaku ancaman yang aktif setidaknya sejak 2018, dan mungkin sejak 2012.
Kelompok ini diyakini sebagai kelompok tentara bayaran siber atau peretas bayaran, di mana pelaku ancaman tampaknya memiliki anggota yang kompeten yang mengembangkan perangkat internal, dan memahami ekosistem ancaman persisten yang canggih.
Baca Juga: Perluas Akses Pendanaan Berkualitas bagi Masyarakat, AdaKami dan Superbank Jalin Kolaborasi Super
Tujuan utama kelompok ini adalah mengumpulkan informasi bisnis, keuangan, dan pribadi, mungkin untuk tujuan intelijen bisnis atau kompetitor yang melayani klien mereka.
