Awas! Grup Hacker Korea Utara Buat 70 Domain Palsu untuk Curi Kripto

Lab Kaspersky mengumumkan pada 27 Desember 2022  bahwa grup peretasan Korea Utara ‘BlueNoroff’ mencuri jutaan dolar dalam aset kripto dengan membuat 70 domain palsu yang meniru perusahaan modal ventura Jepang.

Kaspersky menjelaskan jika, BlueNoroff menggunakan malware untuk menyerang organisasi yang berurusan dengan smart contract, DeFi, Blockchain, dan industri FinTech.

Dalam laporannya, Kaspersky mengatakan mendeteksi serangan global oleh BlueNoroff menargetkan startup kripto pada Januari 2022, tetapi mengatakan ada jeda aktivitas hingga musim gugur.

“Setelah meneliti infrastruktur yang digunakan, kami menemukan lebih dari 70 domain yang digunakan oleh grup ini, artinya mereka sangat aktif hingga saat ini. Selain itu, mereka membuat banyak domain palsu yang terlihat seperti modal ventura dan domain bank,” tulis laporan Kaspersky. 

Baca juga: 10 Kasus Peretasan DeFi Terbesar dalam Sejarah

Malware Dimasukkan ke Dokumen

Hingga beberapa bulan lalu, grup BlueNoroff menggunakan dokumen Word untuk menginjeksi malware. Namun, mereka baru-baru ini meningkatkan teknik mereka, membuat file Batch Windows baru yang memungkinkan mereka memperluas cakupan dan mode eksekusi malware.

File .bat baru ini menghindari tindakan keamanan Windows Mark-of-the-Web (MOTW), tanda tersembunyi yang dilampirkan ke file yang diunduh dari Internet untuk melindungi pengguna dari file dari sumber yang tidak tepercaya.

Setelah penyelidikan menyeluruh pada akhir September, Kaspersky mengonfirmasi bahwa selain menggunakan skrip baru, grup BlueNoroff mulai menggunakan file disk image .iso dan .vhd untuk mendistribusikan virus.

Kaspersky juga menemukan bahwa seorang pengguna di Uni Emirat Arab menjadi korban grup BlueNoroff setelah mengunduh dokumen Word yang disebut ““Shamjit Client Details Form.doc,”yang memungkinkan peretas untuk terhubung ke komputernya dan mengekstrak informasi ketika mereka mencoba untuk mengeksekusi dengan malware yang lebih kuat.

Setelah peretas masuk ke komputer, “mereka berusaha mengambil sidik jari korban dan memasang malware tambahan dengan hak istimewa tinggi”, namun, beruntung korban menjalankan beberapa perintah untuk mengumpulkan informasi sistem dasar dan bisa mencegah malware menyebar lebih jauh.

Baca juga: 5 Tips Menghindari Penipuan Berkedok Kripto

Hacker Korea Utara Makin Canggih

Mencuri aset kripto telah menjadi bisnis yang menguntungkan bagi peretas Korea Utara. Sejak 2017, lebih dari $1,2 miliar aset kripto telah dijarah, menurut data dari agen mata-mata Korea Selatan.

Dilansir dari Cryptopotato (28/12) laporan mengatakan bahwa Korea Utara menjadi negara yang memimpin peretasan kripto. Kelompok terbesarnya, Lazarus, menjadi pelaku atas serangan phishing besar dan teknik penyebaran malware.

Setelah pencurian lebih dari 620 juta dolar dari Axie Infinity, kelompok peretas Korea Utara Lazarus, salah satu kelompok peretas terbesar di dunia, mengumpulkan cukup uang untuk meningkatkan perangkat lunak mereka sedemikian rupa sehingga mereka menciptakan skema peretasan aset kripto canggih melalui domain bernama bloxholder.com yang mereka gunakan sebagai kedok untuk mencuri kunci pribadi dari banyak “pelanggan” mereka.

Seperti yang dilaporkan oleh Microsoft, serangan yang menargetkan organisasi kripto untuk mendapatkan hadiah yang lebih tinggi telah meningkat selama beberapa tahun terakhir, sehingga serangan menjadi lebih kompleks dari sebelumnya.

Baca juga: Microsoft Temukan Virus di Grup Telegram yang Bisa Curi Kripto