Peretas Menargetkan Perusahaan Kripto Melalui Telegram
illustrasi
Cyberthreat.id – Tim Intelijen Ancaman Microsoft mengungkapkan bahwa perusahaan investasi cryptocurrency menjadi sasaran kelompok ancaman yang dilacaknya sebagai DEV-0139 melalui grup Telegram, yang digunakan untuk berkomunikasi dengan pelanggan VIP perusahaan.
“DEV-0139 bergabung dengan grup Telegram yang digunakan untuk memfasilitasi komunikasi antara klien VIP dan platform pertukaran cryptocurrency dan mengidentifikasi target mereka dari antara anggota,” sesuai yang dikutip dari Bleeping Computer.
Microsoft mengatakan, pada 19 Oktober, penyerang dengan pengetahuan luas tentang industri investasi kripto mengundang setidaknya satu target (menyamar sebagai perwakilan perusahaan manajemen aset kripto lainnya) ke grup Telegram lain, di mana mereka meminta umpan balik tentang struktur biaya platform pertukaran mata uang kripto.
Setelah mendapatkan kepercayaan target mereka, pelaku ancaman mengirimi mereka spreadsheet Excel berbahaya bernama "perbandingan biaya VIP OKX Binance & Huobi.xls" dengan perbandingan data (kemungkinan akurat untuk meningkatkan kredibilitas) antara struktur biaya VIP perusahaan pertukaran kripto.
Saat korban membuka dokumen dan mengaktifkan makro, lembar kerja kedua yang disematkan dalam file akan mengunduh dan mem-parsing file PNG untuk mengekstrak DLL berbahaya. Backdoor yang dikodekan XOR, dan Windows yang dapat dieksekusi kemudian digunakan untuk melakukan sideload DLL. DLL ini akan mendekripsi dan memuat backdoor, memberi penyerang akses jarak jauh ke sistem korban yang disusupi.
"Lembar utama di file Excel dilindungi dengan kata sandi akan mendorong target mengaktifkan makro, setelah menginstal dan menjalankan file Excel lain yang disimpan di Base64 yang digunakan untuk mengelabui pengguna agar tidak menimbulkan kecurigaan,” kata Microsoft.
DEV-0139 juga telah mengirimkan muatan kedua sebagai bagian dari kampanye ini, paket MSI untuk aplikasi CryptoDashboardV2, menunjukkan bahwa mereka juga berada di belakang serangan lain yang menggunakan teknik yang sama untuk mendorong muatan khusus.
Sementara Microsoft tidak mengaitkan serangan ini dengan kelompok tertentu dan malah memilih untuk menautkannya ke kelompok aktivitas ancaman DEV-0139, firma intelijen ancaman Volexity juga telah menerbitkan temuannya sendiri tentang serangan ini selama akhir pekan, menghubungkannya dengan Korea Utara. Kelompok ancaman Lazarus.
Menurut Volexity, peretas Korea Utara menggunakan spreadsheet perbandingan biaya pertukaran kripto yang berbahaya untuk menghentikan malware AppleJeus yang sebelumnya digunakan Lazarus dalam pembajakan mata uang kripto dan operasi pencurian aset digital.
Volexity juga mengamati Lazarus menggunakan klon situs web untuk platform perdagangan cryptocurrency otomatis HaasOnline untuk mendistribusikan aplikasi BloxHolder trojan yang malah akan menyebarkan malware AppleJeus yang dibundel dalam aplikasi QTBitcoinTrader.
Microsoft mengatakan telah memberi tahu pelanggan yang telah disusupi atau ditargetkan dalam serangan ini dan membagikan informasi yang diperlukan untuk mengamankan akun mereka. Grup Lazarus adalah grup peretas yang beroperasi dari Korea Utara yang telah aktif selama lebih dari satu dekade, setidaknya sejak tahun 2009.
Operasinya dikenal karena serangan terhadap target profil tinggi di seluruh dunia, termasuk bank, organisasi media, dan lembaga pemerintah. Kelompok tersebut dianggap bertanggung jawab atas serangan dunia maya profil tinggi, termasuk peretasan Sony Pictures 2014 dan serangan ransomware WannaCry tahun 2017.
