Waspada 'Tusk,' Si Tukang Kuras

Hacker / serangan siber.
Sumber :
  • Homeland Security Today

Jakarta, VIVA – Kaspersky telah mendeteksi kampanye penipuan online yang ditujukan untuk mencuri aset kripto dan informasi sensitif dengan mengeksploitasi topik-topik populer seperti web3, kripto, kecerdasan buatan (AI), dan lainnya.

Menargetkan individu di seluruh dunia, kampanye tersebut diyakini diatur oleh kriminal siber berbahasa Rusia dan menyebarkan pencurian info dan malware clipper.

Tim Tanggap Darurat Global Kaspersky (Kaspersky Global Emergency Response Team /GERT) telah mendeteksi kampanye penipuan yang menargetkan pengguna Windows dan macOS di seluruh dunia ini, upaya serangan ditujukan untuk mencuri aset kripto dan informasi pribadi.

Para penyerang mengeksploitasi topik-topik populer untuk memikat korban dengan situs web palsu yang sangat meniru desain dan antarmuka berbagai layanan yang sah.

Dalam kasus-kasus terkini, situs-situs ini telah meniru platform kripto, permainan peran daring, dan penerjemah AI.

Meskipun ada sedikit perbedaan dalam elemen-elemen situs berbahaya tersebut, seperti nama dan URL, situs-situs tersebut tampak canggih dan meyakinkan, sehingga meningkatkan kemungkinan serangan yang berhasil.

Korban dibujuk untuk berinteraksi dengan pengaturan palsu ini melalui phishing. Situs web tersebut dirancang untuk mengelabui individu agar memberikan informasi sensitif, seperti kunci pribadi dompet kripto, atau mengunduh malware.

Para penyerang kemudian dapat terhubung ke dompet kripto korban melalui situs palsu dan menguras dana mereka, atau mencuri berbagai kredensial, detail dompet, dan informasi lainnya menggunakan malware infostealers.

“Korelasi antara berbagai bagian dari kampanye dan infrastruktur keseluruhan mereka menunjukkan operasi yang terorganisasi dengan baik, mungkin terkait dengan satu aktor atau kelompok dengan motif finansial tertentu,” kata Ayman Shaaban, Kepala Unit Respons Insiden, Tim Respons Darurat Global, Kaspersky.

Selain tiga sub-kampanye yang menargetkan topik kripto, AI, dan permainan, Portal Intelijen Ancaman Kaspkersky telah membantu mengidentifikasi infrastruktur untuk 16 topik lainnya — baik sub-kampanye lama yang sudah tidak berlaku lagi atau yang baru belum diluncurkan.

Hal ini menunjukkan kemampuan kriminal siber untuk beradaptasi dengan cepat terhadap topik yang sedang tren dan menyebarkan operasi berbahaya baru sebagai bentuk respons.

“Kebutuhan penting akan solusi keamanan yang kuat dan literasi siber tingkat tinggi untuk melindungi dari ancaman yang terus berkembang,” jelas Ayman.

Kaspersky menemukan untaian dalam kode berbahaya yang dikirim ke server penyerang dalam bahasa Rusia. Kata “Mammoth” (rus. “Мамонт”), bahasa kekinian yang digunakan oleh pelaku ancaman berbahasa Rusia untuk merujuk pada “korban”, muncul dalam komunikasi server dan berkas unduhan malware.

Kaspersky menjuluki kampanye tersebut “Tusk” untuk menekankan fokusnya pada keuntungan finansial, dengan mengambil analogi dari mamut yang diburu untuk diambil gadingnya yang berharga.

Kampanye tersebut menyebarkan malware infostealers seperti Danabot dan Stealc, serta clipper seperti varian sumber terbuka yang ditulis dalam Go (malware bervariasi tergantung pada topik dalam kampanye tersebut).

Infostealer dirancang untuk mencuri informasi sensitif seperti kredensial, sementara clipper memantau data clipboard. Jika alamat dompet kripto disalin ke clipboard, clipper menggantinya dengan alamat berbahaya.

Berkas pemuat malware kemudian dihosting di Dropbox. Setelah korban mengunduhnya, mereka akan menemui antarmuka yang mudah digunakan yang berfungsi sebagai kedok bagi malware, yang meminta mereka untuk masuk, mendaftar, atau tetap berada di halaman statis.

Sementara itu, file dan muatan berbahaya yang tersisa akan diunduh dan diinstal secara otomatis ke sistem mereka.