Kaspersky warnt vor einer weltweiten Spionagekampagne, die sich gegen die Fintech- und Trading-Branche richtet und sowohl Unternehmen als auch Privatpersonen betrifft. Die Bedrohungsakteure nutzen dabei Telegram-Kanäle mit Finanzthemen, um eine Trojaner-Spyware zu verbreiten.
Laut Kaspersky-Telemetrie richtet sich die weltweite Kampagne gegen Nutzer in 20 Ländern, darunter in Europa auch Deutschland und Österreich. Bei der jüngsten von Kaspersky beobachteten Angriffswelle versuchten die Angreifer, ihre Opfer über Telegram-Kanäle zu Finanzthemen mit der Malware DarkMe zu infizieren. DarkMe ist ein Remote Access Trojaner (RAT), der Informationen stiehlt und ferngesteuerte Befehle von einem Server ausführt, der unter der Kontrolle des Angreifers steht. Die Installation der Malware steht am Ende einer Infektionskette, die höchstwahrscheinlich über schädliche LNK-, COM- und CMD-Dateien erfolgt. Diese werden in ein Dateiarchiv wie RAR oder ZIP gepackt, das wiederum an eine Telegram-Nachricht der Angreifer angehängt ist. Nach erfolgreicher Installation entfernt die Malware die für die Bereitstellung des DarkMe-Implantats notwendigen Dateien, vergrössert das Implantat und löscht weitere Spuren, die auf eine Malware-Infektion hindeuten könnten. Die Experten gehen davon aus, dass die Angriffe von dem Bedrohungsakteur DeathStalker (früher Deceptikons) ausgehen. Hierbei handelt es sich um eine Cyber-Söldner- und Hack-for-Hire-Gruppe, die mindestens seit dem Jahr 2018, möglicherweise bereits seit 2012, aktiv ist. DeathStalker entwickelt eigene Toolsets und verfügt über umfassende Expertise im Bereich APT. Das Hauptziel besteht im Sammeln von Unternehmens-, Finanz- und persönlichen Daten für die jeweiligen Auftraggeber, die sich davon Wettbewerbsvorteile versprechen. Die Angriffe richten sich vorwiegend gegen kleine und mittlere Unternehmen, Finanz- und Fintech-Akteure sowie Anwaltskanzleien. Auch Regierungsstellen sind vereinzelt betroffen. Da bislang kein Diebstahl von Geldern beobachtet wurde, stuft Kaspersky DeathStalker als eine nichtstaatliche Geheimorganisation ein, die grossen Wert auf die Verschleierung ihrer Aktionen legt und gerne unter falscher Flagge operiert.