Waspada Malware Pencuri Kripto via TradingView Premium Palsu

Perusahaan keamanan siber Malwarebytes mengeluarkan peringatan terkait malware pencuri aset kripto yang disisipkan dalam versi cracked dari TradingView Premium, perangkat lunak yang menyediakan alat charting untuk pasar aset.

Menurut laporan yang diterbitkan pada Selasa (18/3/2025), Senior Security Researcher di Malwarebytes, Jerome Segura, mengungkapkan bahwa penipu menargetkan pengguna kripto melalui subreddit terkait, menawarkan installer palsu untuk Windows dan Mac yang sebenarnya mengandung malware berbahaya.

“Kami telah mendengar kasus di mana korban kehilangan seluruh isi wallet kripto mereka dan kemudian identitasnya disalahgunakan oleh pelaku untuk mengirim tautan phishing ke kontak mereka,” ujar Segura.

Baca juga: Waspada! Microsoft Deteksi Malware Trojan Baru Incar Wallet Kripto

Terselip Dua Malware Berbahaya

Para penipu mengklaim bahwa perangkat lunak ini merupakan versi premium yang telah dibuka aksesnya secara gratis. Namun, di dalamnya tersembunyi dua malware berbahaya bernama Lumma Stealer dan Atomic Stealer.

Lumma Stealer, yang telah beredar sejak 2022, dirancang untuk mencuri informasi sensitif, terutama wallet kripto dan ekstensi autentikasi dua faktor (2FA). Sementara Atomic Stealer, ditemukan pertama kali pada April 2023, memiliki kemampuan mencuri data penting seperti kata sandi administrator dan keychain.

Selain TradingView Premium palsu, penipu juga menawarkan berbagai perangkat lunak trading lain yang telah dimodifikasi untuk menjebak pengguna kripto di Reddit.

Salah satu aspek menarik dari modus operandi ini adalah keterlibatan aktif pelaku dalam memberikan bantuan kepada pengguna yang mengalami kesulitan dalam mengunduh perangkat lunak yang telah disusupi malware.

“Yang membuat skema ini unik adalah bagaimana pelaku sangat aktif dalam menanggapi komentar, membantu pengguna yang mengalami masalah, serta meyakinkan mereka untuk tetap menggunakan perangkat lunak tersebut,” jelas Segura.

Meskipun dalam unggahan awal sudah ada peringatan bahwa pengguna mengunduh perangkat lunak ini dengan risiko sendiri, pelaku tetap aktif dalam percakapan untuk membangun kepercayaan.

Baca juga: Bappebti Rilis 851 Kripto Legal Baru di Indonesia, Cek Daftarnya!

Dari Dubai ke Rusia

Asal-usul malware ini belum sepenuhnya jelas. Namun, investigasi Malwarebytes menemukan bahwa situs web yang menghosting file berbahaya tersebut dimiliki oleh sebuah perusahaan kebersihan di Dubai, sementara server perintah dan kontrol malware baru saja didaftarkan oleh seseorang di Rusia sekitar satu minggu sebelumnya.

Segura juga mengingatkan bahwa perangkat lunak cracked memang sering menjadi sarang malware selama beberapa dekade terakhir.

“Godaan mendapatkan sesuatu secara gratis masih sangat menarik bagi banyak orang,” ujarnya.

Beberapa tanda peringatan yang perlu diwaspadai dari skema seperti ini meliputi instruksi untuk menonaktifkan perangkat lunak keamanan agar program dapat berjalan, serta file yang diproteksi dengan kata sandi atau dikompresi dalam beberapa lapisan (double zipped).

“Dalam kasus ini, file yang diunduh dikompresi dua kali, dengan lapisan terakhir dilindungi kata sandi. Sebagai perbandingan, perangkat lunak resmi tidak perlu didistribusikan dengan cara seperti ini,” tambah Segura.

Dalam satu tahun terakhir, Chainalysis memperkirakan nilai transaksi ilegal yang terjadi di sektor kripto mencapai US$51 miliar, menegaskan bahwa keamanan siber masih menjadi tantangan besar bagi industri ini.