alexametrics

Lagi Booming, Penjahat Siber Bidik Startup Aset Digital

25 Januari 2022, 11:28:13 WIB

JawaPos.com – Kurang dari lima tahun terakhir, aset digital seperti blockchain, cryptocurrency, Bitcoin dan sejenisnya menjadi tren dan banyak dicari sebagai sarana investasi baru. Dengan tren yang terus meningkat itu, kini banyak perusahaan rintisan atau startup baru yang menyediakan sarana jual-beli aset digital yang juga semakin diterima di masyarakat.

Bermunculannya startup baru ini tak luput dari perhatian para penjahat siber. Tumbuh suburnya perusahaan-perusahaan baru di sektor digital ini membuat para pelaku kejahatan dunia maya juga menarget para startup.

Hal ini diungkapkan oleh pakar keamanan siber di Kaspersky yang mengklaim telah menemukan serangkaian serangan oleh aktor ancaman persisten tingkat lanjut atau APT bernama BlueNoroff terhadap perusahaan kecil dan menengah di seluruh dunia yang mengakibatkan kerugian cryptocurrency besar bagi para korban.

Kampanye tersebut dijuluki sebagai SnatchCrypto, ditujukan untuk berbagai perusahaan yang berkecimpung dalam industri cryptocurrency dan kontrak pintar, DeFi, blockchain, dan industri FinTech.

Dalam kampanye terbaru BlueNoroff, penyerang secara halus memanfaatkan kepercayaan karyawan yang bekerja di perusahaan yang ditargetkan dengan mengirimkan mereka backdoor Windows berfitur lengkap dengan fungsi pengawasan yang berkedok “kontrak” atau file bisnis lainnya.

Untuk meraup dompet kripto korban, penyerang telah mengembangkan sumber daya yang luas dan berbahaya seperti: infrastruktur kompleks, eksploitasi, dan implan malware.
BlueNoroff merupakan bagian dari grup Lazarus yang lebih besar dan menggunakan struktur lebih beragam hingga teknologi serangan yang canggih.

Grup APT Lazarus sendiri dikenal karena serangan terhadap bank dan server yang terhubung ke SWIFT, dan bahkan terlibat dalam pembuatan perusahaan palsu untuk pengembangan perangkat lunak cryptocurrency. Klien yang tertipu kemudian menginstal aplikasi yang tampak sah dan, setelah beberapa saat, mereka menerima pembaruan backdoor.

Sekarang, cabang Lazarus ini telah beralih ke penyerangan terhadap startup cryptocurrency. Karena sebagian besar bisnis cryptocurrency adalah perusahaan rintisan kecil atau menengah, mereka tidak dapat menginvestasikan banyak biaya ke dalam sistem keamanan internal mereka.

Kelompok kejahatan siber memahami celah tersebut dan memanfaatkannya dengan menggunakan skema rekayasa sosial atau social engineering yang kompleks. Untuk mendapatkan kepercayaan korban, BlueNoroff berpura-pura menjadi perusahaan modal ventura yang sudah ada.

Peneliti Kaspersky menemukan lebih dari 15 bisnis ventura, yang nama merek dan nama karyawannya disalahgunakan selama kampanye SnatchCrypto. Pakar Kaspersky juga percaya bahwa perusahaan asli tidak memiliki keterlibatan dengan email atau serangan terkait.

Lingkungan crypto startup dipilih oleh para pelaku kejahatan siber karena suatu alasan: perusahaan rintisan sering menerima surat atau file dari sumber yang tidak dikenal.

Misalnya, perusahaan ventura dapat mengirimi mereka kontrak atau file terkait bisnis lainnya. Pelaku APT memanfaatkan ini sebagai umpan untuk membuat korban membuka lampiran di email dan dokumen berkemampuan makro.

Jika dokumen dibuka secara offline, file tersebut tidak akan menghadirkan sesuatu yang berbahaya, kemungkinan besar, itu akan terlihat seperti salinan dari beberapa jenis kontrak atau dokumen lain yang tidak berbahaya.

Tetapi jika komputer terhubung ke internet pada saat membuka file, dokumen berkemampuan makro lainnya mencapai perangkat korban dan menyebarkan malware.

Kelompok APT ini memiliki berbagai metode dalam gudang infeksi mereka dan menyusun rantai infeksi tergantung pada situasinya. Selain dokumen Word yang dilengkapi fitur berbahaya, aktor ancaman ini juga menyebarkan malware yang disamarkan sebagai file pintasan Windows yang di-zip.

Selanjutnya, ini akan mengirimkan informasi umum korban dan agen Powershell, yang kemudian menciptakan backdoor berfitur lengkap. Dengan menggunakan ini, BlueNoroff dapat menyebarkan alat berbahaya lainnya untuk memantau korban seperti keylogger dan pengambil tangkapan layar.

Kemudian penyerang melacak korban selama berminggu-minggu bahkan berbulan-bulan. Mereka mengumpulkan keystrokes dan memantau operasi harian pengguna, sambil merencanakan strategi untuk pencurian finansial.

Setelah menemukan target utama yang menggunakan ekstensi browser populer untuk mengelola dompet kripto (misalnya, ekstensi Metamask), mereka akan mengganti komponen utama ekstensi dengan versi palsu. Menurut para peneliti, penyerang akan menerima pemberitahuan setelah mendapatkan transfer besar.

Ketika pengguna yang ditargetkan mencoba mentransfer sejumlah dana ke akun lain, mereka mencegat proses transaksi dan menyuntikkan login mereka sendiri. Untuk menyelesaikan pembayaran awal, pengguna kemudian mengklik tombol “setuju”.

Pada saat ini, para pelaku kejahatan siber mengubah alamat penerima dan memaksimalkan jumlah transaksi, yang pada akhirnya menguras akun hanya dalam satu gerakan. Penyebaran BlueNoroff saat ini yang masih aktif dan menyerang pengguna terlepas dari negara mana mereka berasal.

“Karena penyerang terus-menerus menemukan banyak cara baru untuk mengelabui dan menyalahgunakan kerentanan, bahkan bisnis kecil sekalipun harus memberikan edukasi kepada karyawan mereka tentang praktik keamanan siber dasar,” komentar Seongsu Park, peneliti keamanan senior di Tim Riset dan Analisis Global (GReAT) Kaspersky.

Editor : Estu Suryowati

Reporter : Rian Alfianto

Saksikan video menarik berikut ini: