Penipuan, serangan, dan peretasan telah lama ada di sektor cryptocurrency. Sementara beberapa peretasan memang dilakukan untuk pencurian terang-terangan, yang lain dilakukan untuk membuat jaringan menyadari kelemahan mereka. Sementara sebagian besar peretas beroperasi secara diam-diam.
Saat keamanan diperketat dan perusahaan mulai menerapkan langkah-langkah keamanan yang lebih, penyerang membuat rencana untuk serangan yang lebih kompleks. Di salah satu blog baru-baru ini oleh intelijen ancaman keamanan Microsoft, tim mengidentifikasi pelaku ancaman yang ditandai sebagai DEV-0139. DEV-0139 memburu perusahaan investasi cryptocurrency menggunakan grup obrolan Telegram.
CZ Binance juga baru-baru ini men-tweet tentang serangan itu, meminta pengguna untuk tetap berhati-hati dan tidak mengunduh file dari sumber yang tidak dikenal.
Baca Juga Peretas FTX Mengubah 25.000 ETH menjadi BTC
Bagaimana DEV-0139 melakukan serangan itu?
DEV-0139 pada dasarnya bergabung dengan obrolan Telegram tempat pertukaran mata uang kripto dan klien VIP mereka berkomunikasi. DEV-0139 kemudian menyamar sebagai perwakilan dari perusahaan investasi mata uang kripto lainnya. Penyerang kemudian mengarahkan klien ke obrolan yang berbeda. Obrolan tersebut akan digunakan untuk kemudian meminta umpan balik tentang struktur biaya pertukaran mata uang kripto.
DEV-0139 kemudian menggunakan pengetahuan mereka yang lebih luas tentang industri cryptocurrency untuk mendapatkan kepercayaan dan memikat mereka ke dalam perangkap. Penyerang akan mengirim file Excel yang sudah diretas, perbandingan biaya OKX Binance & Huobi VIP.xls, ke klien.
File tersebut akan memiliki daftar tabel yang menyertakan struktur biaya dari berbagai bursa mata uang kripto. Ini meningkatkan kredibilitas dan kepercayaan penyerang, membodohi klien. File yang sudah diretas kemudian mulai menjalankan permainannya.
Cara mereka memulai serangannya dengan melakukan banyak aktivitas. Serangan awal dimulai dengan menjatuhkan lembar Excel lain yang menggunakan program jahat untuk mengambil data. Eksekusi sheet akan terjadi dalam “mode tak terlihat” dan mengunduh file PNG.
File PNG akan memiliki tiga executable: file Windows yang sah bernama logagent.exe, versi berbahaya dari DLL wsock32.dll, dan backdoor yang dikodekan XOR. Sistem yang terinfeksi kemudian dapat diakses oleh penyerang dari pintu belakang dari jarak jauh. Penyerang kemudian menggunakannya untuk mengumpulkan semua data yang diperlukan untuk menjarah cryptocurrency korban.
Itu memulai serangannya dengan melakukan banyak aktivitas. Serangan awal dimulai dengan menjatuhkan lembar Excel lain yang menggunakan program jahat untuk mengambil data. Eksekusi sheet akan terjadi dalam “mode tak terlihat” dan mengunduh file PNG. File PNG akan memiliki tiga executable: file Windows yang sah bernama logagent.exe, versi berbahaya dari DLL wsock32.dll, dan backdoor yang dikodekan XOR.
Sistem yang terinfeksi kemudian dapat diakses oleh penyerang dari backdoor dari jarak jauh. Penyerang kemudian menggunakannya untuk mengumpulkan semua data yang diperlukan untuk menjarah cryptocurrency korban.