Analisis rantai infeksi mengungkap bahwa penyerang kemungkinan besar melampirkan arsip berbahaya ke posting di saluran Telegram. Arsip itu sendiri, seperti file RAR atau ZIP, tidak berbahaya, tetapi berisi file berbahaya dengan ekstensi seperti .LNK, .com, dan .cmd. Jika calon korban meluncurkan file-file ini, hal itu mengarah pada pemasangan malware tahap akhir, DarkMe, dalam serangkaian tindakan.
“Alih-alih menggunakan metode phishing tradisional, pelaku ancaman mengandalkan saluran Telegram untuk mengirimkan malware. Dalam kampanye sebelumnya, kami juga mengamati operasi ini menggunakan platform pengiriman pesan lain, seperti Skype, sebagai vektor untuk infeksi awal. Metode ini dapat membuat calon korban lebih cenderung mempercayai pengirim dan membuka file berbahaya daripada dalam kasus situs web phishing. Selain itu, mengunduh file melalui aplikasi pengiriman pesan dapat memicu lebih sedikit peringatan keamanan dibandingkan dengan unduhan internet standar, yang menguntungkan bagi pelaku ancaman,” jelas Maher Yamout, Peneliti Keamanan Utama dari GReAT, Kaspersky.
