Sicherheitsforscher von Kaspersky haben eine ausgeklügelte Malware-Kampagne aufgedeckt, bei der Cyberkriminelle den hochentwickelten Trojaner DarkMe über beliebte Finanz-Channels auf Telegram verbreiten. Die Angriffe erstrecken sich bereits über mehr als 20 Länder und stellen eine ernsthafte Bedrohung für Nutzer des Messaging-Dienstes dar.
Raffinierte Verteilungsstrategie der Malware
Die Angreifer nutzen eine besonders perfide Taktik: Sie betten die Schadsoftware in verschiedene Dateitypen (.lnk, .com, .cmd) ein, die als harmlose Anhänge getarnt an Telegram-Posts angehängt werden. Sobald ein Nutzer diese Dateien öffnet, installiert sich der DarkMe-Trojaner, der den Angreifern volle Kontrolle über das infizierte System ermöglicht und sensible Daten abgreifen kann.
Fortgeschrittene Verschleierungstechniken
Die technische Analyse offenbart ein hohes Maß an Professionalität der Cyberkriminellen. Der Trojaner verfügt über mehrere Mechanismen zur Verschleierung seiner Aktivitäten: Nach der Installation werden sämtliche Installationsdateien automatisch gelöscht, der Schadcode wird durch redundante Daten aufgebläht, um Antivirenprogramme zu verwirren, und nach Abschluss der Angriffe werden alle Spuren systematisch beseitigt.
Verbindung zur DeathStalker-Gruppe
Forensische Untersuchungen der technischen Indikatoren weisen auf die berüchtigte Hackergruppe DeathStalker hin, die seit 2018 als Cybersöldner aktiv ist. Die Gruppe hat sich auf Wirtschaftsspionage und das Sammeln vertraulicher Unternehmensdaten spezialisiert, wobei sie vorwiegend kleine und mittlere Unternehmen im Fintech-Sektor ins Visier nimmt.
Gefährdete Zielgruppen
Besonders gefährdet sind Finanzdienstleister, Rechtsanwaltskanzleien und FinTech-Startups. Die Nutzung von Telegram als Angriffsvektor ist dabei besonders effektiv, da Nutzer der Plattform häufig ein hohes Vertrauen in dort geteilte Inhalte haben und die üblichen Vorsichtsmaßnahmen vernachlässigen.
Zum Schutz vor DarkMe-Angriffen empfehlen Sicherheitsexperten erhöhte Wachsamkeit beim Herunterladen von Dateien aus Telegram-Kanälen, auch wenn diese vertrauenswürdig erscheinen. Die Installation aktueller Sicherheitssoftware und regelmäßige Systemupdates sind unerlässlich. Unternehmen sollten zusätzlich ihre Mitarbeiter für diese neue Bedrohung sensibilisieren und klare Richtlinien für den Umgang mit Dateianhängen aus Messenger-Diensten etablieren.
