Microsoft Temukan Virus di Grup Telegram yang Bisa Curi Kripto

Tim Intelijen Ancaman Keamanan Microsoft telah menerbitkan laporan baru yang menguraikan rincian ancaman model baru terhadap perusahaan investasi kripto yang menargetkan korbannya melalui Telegram.

Perusahaan teknologi multinasional itu menemukan virus ancaman bernama “DEV-0139”, yang menyusup ke grup Telegram dengan berpura-pura menjadi perwakilan dari platform kripto atau perusahaan manajemen aset kripto.

Target Serangan di Ruang Kripto

Biasanya para pelaku menyamar sebagai perwakilan dari perusahaan manajemen aset kripto atau platform kripto, kemudian terlibat dan berdiskusi secara langsung di grup Telegram, untuk mendapatkan kepercayaan penuh terhadap target korbannya.

Kejahatan ini kerap kali disebut dengan phising, di mana  pelaku menipu korban dengan cara berpura-pura menjadi suatu lembaga resmi seperti bank dengan tujuan mendapatkan informasi berupa data pribadi, data akun, atau data finansial seperti rekening dan kartu kredit.

CEO Binance, Changpeng Zhao (CZ) juga men-tweet tentang serangan phishing tersebut, dan meminta pengguna untuk tetap berhati-hati dan tidak mengunduh file dari sumber yang tidak dikenal.

Cara Kerja DEV-0139

DEV-0139 pada dasarnya bergabung dalam percakapan Telegram, tempat ruang kripto dan klien VIP mereka berdiskusi.

DEV-0139 kemudian berperan sebagai perwakilan dari perusahaan investasi kripto, kemudian pelaku penyamaran meminta umpan balik tentang struktur pembayaran mata uang kripto.

Tak hanya itu, DEV-0139 menggunakan pengetahuannya yang luas tentang industri kripto untuk mendapatkan kepercayaan penuh para korbannya, agar memikat ke dalam jebakan.

Pada waktu yang tepat, pelaku akan mengirimkan file spreadsheet Excel yang berbahaya. File tersebut berisi tabel daftar yang berisi struktur pembayaran dari berbagai bursa mata uang kripto. Hal ini memberikan kredibilitas dan kepercayaan penyerang kepada penipu. 

Ketika file tersebut terunduh atau tautan tersebut di-klik oleh korbannya, maka eksekusi sheet yang berisi malware berubah menjadi file PNG. File PNG akan memiliki tiga executable: logagent.exe, DLL wsock32.dl, dan XOR encoded backdoor. 

Kemudian perangkat sistem yang terinfeksi virus malware tersebut dapat memudahkan para peretas untuk mengumpulkan semua data yang diperlukan untuk menjarah kripto korbannya.

Karena itu untuk terhindari dari virus ini, pengguna diimbau jangan sembarangan mengunduh atau mengklik link yang ada di grup telegram atau di situs manapun.

Baca juga: Spam dan Penipuan Crypto Meningkat 4000% di Twitter