Darktrace memperingatkan tentang penipuan rekayasa sosial yang menggunakan malware pencuri crypto

Peneliti di perusahaan keamanan siber Darktrace telah memperingatkan bahwa pelaku ancaman menggunakan taktik rekayasa sosial yang semakin canggih untuk menginfeksi korban dengan malware pencuri crypto.

Dalam blog terbarunya, para peneliti Darktrace merinci sebuah kampanye rumit di mana para penipu ditemukan berpura-pura menjadi startup AI, permainan, dan Web3 untuk menipu pengguna agar mengunduh malware.

Skema ini bergantung pada akun X yang terverifikasi dan yang telah dikompromikan, serta dokumentasi proyek yang dihosting di platform yang sah, untuk menciptakan ilusi legitimasi.

Menurut laporan, kampanye biasanya dimulai dengan peniru yang menghubungi calon korban di X, Telegram, atau Discord. Dengan menyamar sebagai perwakilan dari startup yang sedang berkembang, mereka menawarkan insentif seperti pembayaran cryptocurrency sebagai imbalan untuk menguji perangkat lunak.

Korban kemudian diarahkan ke situs web perusahaan yang dipoles untuk meniru startup yang sah, lengkap dengan whitepaper, peta jalan, entri GitHub, dan bahkan toko merchandise palsu.

Setelah target mengunduh aplikasi berbahaya, layar verifikasi Cloudflare muncul, di mana malware diam-diam mengumpulkan informasi sistem seperti detail CPU, alamat MAC, dan ID pengguna. Informasi ini, bersama dengan token CAPTCHA, dikirim ke server penyerang untuk menentukan apakah sistem merupakan target yang layak.

Jika verifikasi berhasil, payload tahap kedua, yang biasanya merupakan info-stealer, disampaikan secara diam-diam, yang kemudian mengekstrak data sensitif, termasuk kredensial dompet cryptocurrency.

Versi malware untuk Windows dan macOS telah terdeteksi, dengan beberapa varian Windows diketahui menggunakan sertifikat tanda tangan kode yang dicuri dari perusahaan yang sah.

Menurut Darktrace, kampanye ini mirip dengan taktik yang digunakan oleh kelompok "traffer", yaitu jaringan penjahat siber yang mengkhususkan diri dalam menghasilkan instalasi malware melalui konten yang menipu dan manipulasi media sosial.

Meskipun pelaku ancaman tetap tidak teridentifikasi, para peneliti percaya bahwa metode yang digunakan konsisten dengan yang terlihat dalam kampanye yang dikaitkan dengan CrazyEvil, sebuah grup yang dikenal karena menargetkan komunitas terkait crypto.

“CrazyEvil dan sub tim mereka menciptakan perusahaan perangkat lunak palsu, mirip dengan yang dijelaskan dalam blog ini, memanfaatkan Twitter dan Medium untuk menargetkan korban,” tulis Darktrace, menambahkan bahwa kelompok tersebut diperkirakan telah menghasilkan “jutaan dolar dalam pendapatan dari aktivitas jahat mereka.”

Ancaman berulang

Kampanye malware serupa telah terdeteksi pada beberapa kesempatan sepanjang tahun ini, dengan satu operasi yang terkait dengan Korea Utara ditemukan menggunakan pembaruan Zoom palsu untuk mengkompromikan perangkat macOS di perusahaan kripto.

Dilaporkan bahwa penyerang sedang menerapkan varian malware baru yang disebut "NimDoor," yang disampaikan melalui pembaruan SDK berbahaya. Payload multi-tahap ini dirancang untuk mengekstrak kredensial dompet, data browser, dan file Telegram yang terenkripsi sambil mempertahankan keberlanjutan di sistem.

Dalam contoh lain, kelompok peretas Korea Utara yang terkenal, Lazarus, ditemukan berpura-pura sebagai perekrut untuk menargetkan profesional yang tidak curiga menggunakan strain malware baru yang disebut "OtterCookie," yang dikerahkan selama sesi wawancara palsu.

Awal tahun ini, sebuah studi terpisah oleh perusahaan forensik blockchain Merkle Science menemukan bahwa penipuan rekayasa sosial sebagian besar menargetkan selebriti dan pemimpin teknologi melalui akun X yang diretas.