Spyware über Telegram verbreitet


Malware-Kampagne richtet sich gegen FinTech-Nutzer: Betroffene auch in Deutschland und Österreich, vorwiegend kleine und mittlere Unternehmen, Finanz- und Fintech-Akteure sowie Anwaltskanzleien
Remote-Access-Trojaner vermutlich dem APT-Akteur DeathStalker zuzurechnen

13. Mai 2025

Kaspersky warnt vor einer weltweiten Spionage-Kampagne, die sich gegen die Fintech- und Trading-Branche richtet; betroffen sind sowohl Unternehmen als auch Einzelpersonen. Dabei nutzen die Bedrohungsakteure Telegram-Kanäle mit Finanzthemen zur Verbreitung einer Trojaner-Spyware. Das Global Research and Analysis Team von Kaspersky (GReAT) vermutet hinter der Kampagne den Hack-for-Hire-APT-Akteur DeathStalker, der bereits öfters in Erscheinung trat und sich auf die Finanzbranche spezialisiert hat.

Laut Kaspersky-Telemetrie richtet sich die globale Kampagne gegen Nutzer in 20 Ländern, darunter in Europa auch Deutschland und Österreich. Bei der jüngsten von Kaspersky beobachteten Angriffswelle versuchten die Bedrohungsakteure, ihre Opfer mit der Malware DarkMe über Telegram-Kanäle, die sich mit Finanzthemen beschäftigen, zu infizieren. Bei DarkMe handelt es sich um einen Remote-Access-Trojaner (RAT), der Informationen stiehlt und Remote-Befehle ausführt, die von einem unter Täter-Kontrolle stehenden Server stammen.

Die Installation der Malware ist das Ende einer Infektionskette, die höchstwahrscheinlich mit schädlichen LNK-, COM- und CMD-Dateien erfolgt. Sie sind in ein Dateiarchiv verpackt wie zum Beispiel RAR oder ZIP, das wiederum Anhang eines Telegram-Posts der Angreifer ist. Nach erfolgreicher Installation entfernt die Malware die zur Bereitstellung des DarkMe-Implantats benötigten Dateien, vergrößert das Implantat und löscht weitere Spuren, die auf eine Malware-Infektion hindeuten könnten.

APT DeathStalker vermutlich für Angriffe verantwortlich
Die Experten vermuten hinter den Angriffen den Bedrohungsakteur DeathStalker (früher Deceptikons); eine Cyber-Söldner- und Hack-for-Hire-Gruppe, die mindestens seit dem Jahr 2018, möglicherweise bereits seit 2012, aktiv ist. DeathStalker entwickelt eigene Toolsets und gilt als APT-Experte. Hauptziel ist das Sammeln von Unternehmens-, Finanz- und persönlichen Daten für die jeweiligen Auftraggeber, die sich davon wohl Wettbewerbsvorteile versprechen. Angegriffen werden vorwiegend kleine und mittlere Unternehmen, Finanz- und Fintech-Akteure sowie Anwaltskanzleien und – vereinzelt – auch Regierungsstellen. Da noch nie ein Diebstahl von Geldern beobachtet wurde, stuft Kaspersky DeathStalker als eine nichtstaatliche Geheimorganisation ein, die zudem großen Wert auf die Verschleierung ihrer Aktionen legt und gerne unter falscher Flagge operiert.

"Anstelle von traditionellen Phishing-Methoden nutzen Bedrohungsakteure nun auch Telegram-Kanäle zur Verbreitung ihrer Malware", erklärt Maher Yamout, Lead Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky. "Schon in früheren Kampagnen konnten wir beobachten, dass Messaging-Plattformen wie Skype als Infektionsvektoren dienten. Anders als bei Phishing-Websites vertrauen potenzielle Opfer hier eher den Absendern und öffnen schädliche Dateien. Zudem löst das Herunterladen von Dateien über Messenger-Apps weniger Sicherheitswarnungen aus als ein normaler Internet-Download. Das spielt den Bedrohungsakteuren zusätzlich in die Hände. Nutzer sollten daher bei Nachrichten und Links besonders wachsam sein – dies schließt auch Instant-Messaging-Apps wie Skype und Telegram ein." (Kaspersky Lab: ra)

eingetragen: 10.12.24
Newsletterlauf: 14.02.25

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Zunahme von Fog- und Akira-Ransomware-Fällen Hybride russische Spionage- und Einflusskampagne

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen