Crypto Hacking

Pembeli Berhati-hatilah: Aplikasi Cryptocurrency Palsu Berfungsi sebagai Front untuk Malware AppleJeus

December 4, 2022 by Søren

Selama beberapa bulan terakhir, Volexity telah mengamati aktivitas baru yang terkait dengan aktor ancaman Korea Utara yang dilacaknya yang secara luas disebut sebagai Grup Lazarus. Aktivitas ini terutama melibatkan kampanye yang kemungkinan besar menargetkan pengguna dan organisasi cryptocurrency dengan varian malware AppleJeus melalui dokumen Microsoft Office yang berbahaya.

Analisis Volexity terhadap kampanye ini mengungkap situs web bertema cryptocurrency langsung dengan konten yang dicuri dari situs web sah lainnya. Analisis teknis lebih lanjut dari malware AppleJeus yang disebarkan menemukan variasi baru dari pemuatan samping DLL yang belum pernah dilihat Volexity sebelumnya didokumentasikan seperti di alam liar.

Blog ini menguraikan teknik baru yang digunakan oleh Grup Lazarus, menganalisis varian malware AppleJeus terbaru, membagikan indikator dari versi lain malware ini, serta menguraikan tautan antara aktivitas ini dan kampanye bersejarah.

Bagian akhir postingan mencakup peluang deteksi dan mitigasi untuk individu atau organisasi yang mungkin menjadi sasaran aktivitas ini. Seperti semua blog Volexity, indikator terkait dapat ditemukan di sini di Github.

Volexity menemukan situs web BloxHolder palsu setelah mengidentifikasi sampel malware AppleJeus baru yang dibundel sebagai bagian dari file Instalasi Microsoft (MSI). File yang ditemukan ini, “aplikasi BloxHolder”, sebenarnya adalah kasus lain dari AppleJeus yang diinstal bersama aplikasi perdagangan mata uang kripto sumber terbuka QTBitcoinTrader yang tersedia di GitHub.

Aplikasi sah yang sama ini sebelumnya telah digunakan oleh Grup Lazarus, sebagaimana didokumentasikan dalam laporan ini dari CISA. File MSI digunakan untuk menginstal aplikasi jahat dan sah secara bersamaan.

Selengkapnya: Volexity

Ekstensi Google Chrome Digunakan Untuk Mencuri Cryptocurrency

November 22, 2022 by Coffee Bean

Ekstensi browser Google Chrome yang mencuri informasi bernama ‘VenomSoftX’ sedang digunakan oleh malware Windows untuk mencuri cryptocurrency dan konten clipboard saat pengguna menjelajahi web.

Ekstensi Chrome ini dipasang oleh malware ViperSoftX Windows, yang bertindak sebagai RAT berbasis JavaScript (trojan akses jarak jauh) dan pembajak cryptocurrency.

Aktivitas Terbaru
Saluran distribusi utama untuk ViperSoftX adalah file torrent yang berisi crack game bertali dan aktivator produk perangkat lunak.

Dengan menganalisis alamat dompet yang di-hardcode dalam sampel ViperSoftX dan VenomSoftX, Avast menemukan bahwa keduanya secara kolektif telah menghasilkan sekitar $130.000 bagi operator mereka pada 8 November 2022.

Cryptocurrency yang dicuri ini diperoleh dengan mengalihkan transaksi cryptocurrency yang dicoba pada perangkat yang dikompromikan dan tidak termasuk keuntungan dari aktivitas paralel.

Baris kode berbahaya tunggal bersembunyi di suatu tempat di bagian bawah file teks log 5MB dan berjalan untuk mendekripsi muatan, pencuri ViperSoftX.

Fitur utama dari varian ViperSoftX yang lebih baru adalah pemasangan ekstensi browser berbahaya bernama VenomSoftX di browser berbasis Chrome (Chrome, Brave, Edge, Opera).

Menginfeksi Chrome

“VenomSoftX terutama melakukan ini (mencuri crypto) dengan mengaitkan permintaan API pada beberapa pertukaran crypto yang sangat populer yang dikunjungi/dimiliki oleh korban,” jelas Avast dalam laporan tersebut.

“Ketika API tertentu dipanggil, misalnya, untuk mengirim uang, VenomSoftX merusak permintaan sebelum dikirim untuk mengalihkan uang ke penyerang.”

Layanan yang ditargetkan oleh VenomSoftX adalah Blockchain.com, Binance, Coinbase, Gate.io, dan Kucoin, sedangkan ekstensi juga memonitor clipboard untuk penambahan alamat dompet.

“This module focuses on www.blockchain.com and it tries to hook https://blockchain.info/wallet. It also modifies the getter of the password field to steal entered passwords,” explains Avast.

“Once the request to the API endpoint is sent, the wallet address is extracted from the request, bundled with the password, and sent to the collector as a base64-encoded JSON via MQTT.”

Terakhir, jika pengguna melampirkan konten ke situs web mana pun, ekstensi akan memeriksa apakah cocok dengan salah satu ekspresi reguler yang ditunjukkan di atas, dan jika demikian, kirimkan konten yang ditempelkan ke pelaku ancaman.

Dikarenakan Google Sheets biasanya dipasang di Google Chrome sebagai aplikasi di bawah chrome://apps/ dan bukan ekstensi, Anda dapat memeriksa halaman ekstensi browser Anda untuk menentukan apakah Google Sheets dipasang.

Sumber : bleeping computer

Crypto Senilai $100 Juta telah Dicuri dalam Peretasan Besar Lainnya

June 25, 2022 by Eevee

Peretas telah mencuri $ 100 juta dalam cryptocurrency dari Horizon, yang disebut jembatan blockchain, dalam pencurian besar terbaru di dunia keuangan terdesentralisasi.

Rincian serangan itu masih tipis, tetapi Harmony, pengembang di balik Horizon, mengatakan mereka mengidentifikasi pencurian itu Rabu pagi. Harmony memilih akun individu yang diyakini sebagai pelakunya.

“Kami telah mulai bekerja dengan otoritas nasional dan spesialis forensik untuk mengidentifikasi pelakunya dan mengambil kembali dana yang dicuri,” kata perusahaan rintisan itu dalam tweet Rabu malam.

Jembatan Blockchain memainkan peran besar dalam ruang DeFi, menawarkan pengguna cara mentransfer aset mereka dari satu blockchain ke blockchain lainnya. Dalam kasus Horizon, pengguna dapat mengirim token dari jaringan Ethereum ke Binance Smart Chain. Harmony mengatakan serangan itu tidak mempengaruhi jembatan terpisah untuk bitcoin.

Seperti aspek lain dari DeFi, yang bertujuan untuk membangun kembali layanan keuangan tradisional seperti pinjaman dan investasi di blockchain, jembatan telah menjadi target utama bagi peretas karena kerentanan dalam kode dasarnya.

Jembatan “menjaga simpanan likuiditas yang besar,” menjadikannya “target yang menggoda bagi peretas,” menurut Jess Symington, pemimpin penelitian di perusahaan analisis blockchain Elliptic.

“Agar individu dapat menggunakan jembatan untuk memindahkan dana mereka, aset dikunci di satu blockchain dan tidak dikunci, atau dicetak, di blockchain lain,” kata Symington. “Akibatnya, layanan ini menyimpan sejumlah besar aset kripto.”

Harmony belum mengungkapkan secara pasti bagaimana dana tersebut dicuri. Namun, satu investor telah menyuarakan keprihatinan tentang keamanan jembatan Horizonnya sejak April.

Keamanan jembatan Horizon bergantung pada dompet “multisig” yang hanya membutuhkan dua tanda tangan untuk memulai transaksi. Beberapa peneliti berspekulasi bahwa pelanggaran tersebut adalah hasil dari “kompromi kunci pribadi”, di mana peretas memperoleh kata sandi, atau kata sandi, yang diperlukan untuk mendapatkan akses ke dompet kripto.

Ini mengikuti serangkaian serangan penting pada jembatan blockchain lainnya. Jaringan Ronin, yang mendukung permainan crypto Axie Infinity, kehilangan lebih dari $600 juta dalam pelanggaran keamanan yang terjadi pada bulan Maret. Wormhole, jembatan populer lainnya, kehilangan lebih dari $320 juta dalam peretasan terpisah sebulan sebelumnya.

Pencurian tersebut menambah aliran berita negatif di crypto akhir-akhir ini. Pemberi pinjaman Crypto Celsius dan Babel Finance membekukan penarikan setelah penurunan tajam nilai aset mereka mengakibatkan krisis likuiditas. Sementara itu, dana lindung nilai crypto yang terkepung Three Arrows Capital dapat ditetapkan untuk default pada pinjaman $ 660 juta dari perusahaan pialang Voyager Digital.

Sumber: CNBC

Peretas Crypto Menggunakan Babadeda Crypter untuk Membuat Malware Mereka Tidak Terdeteksi

November 27, 2021 by Søren

Kampanye malware baru telah ditemukan menargetkan cryptocurrency, non-fungible token (NFT), dan penggemar DeFi melalui saluran Discord untuk menyebarkan crypter bernama “Babadeda” yang mampu melewati solusi antivirus dan melakukan berbagai serangan.

“Penginstal malware ini telah digunakan dalam berbagai kampanye baru-baru ini untuk mengirimkan pencuri informasi, RAT, dan bahkan ransomware LockBit,” kata peneliti Morphisec dalam laporan yang diterbitkan minggu ini. Serangan distribusi malware dikatakan telah dimulai pada Mei 2021.

Crypters adalah jenis perangkat lunak yang digunakan oleh penjahat dunia maya yang dapat mengenkripsi, mengaburkan, dan memanipulasi kode berbahaya sehingga tampak tidak berbahaya dan membuatnya lebih sulit untuk dideteksi oleh program keamanan — cawan suci bagi pembuat malware.

Infiltrasi yang diamati oleh Morphisec melibatkan aktor ancaman yang mengirim pesan umpan ke calon pengguna di saluran Discord terkait dengan game berbasis blockchain seperti Mines of Dalarnia, mendesak mereka untuk mengunduh aplikasi.

Jika korban mengeklik URL yang disematkan di dalam pesan, individu tersebut akan diarahkan ke domain phishing yang dirancang menyerupai situs web sah game dan menyertakan tautan ke penginstal jahat yang berisi sandi Babadeda.

Setelah dieksekusi, penginstal memicu urutan infeksi yang memecahkan kode dan memuat muatan terenkripsi, dalam hal ini BitRAT dan Remcos, untuk memanen informasi berharga.

Morphisec mengaitkan serangan itu dengan aktor ancaman dari negara berbahasa Rusia, karena teks bahasa Rusia yang ditampilkan di salah satu situs umpan. Sebanyak 84 domain berbahaya, yang dibuat antara 24 Juli 2021, dan 17 November 2021, telah diidentifikasi hingga saat ini.

Selengkapnya: The Hacker News

Skema Peretasan Crypto Korea Utara Menjatuhkan Warga AS-Kanada 11 Tahun Penjara

September 13, 2021 by Winnie the Pooh

Seorang warga negara Kanada-Amerika yang mencuci dana untuk peretas militer Korea Utara menggunakan wire transfer dan pertukaran kripto telah dijatuhi hukuman 11 tahun penjara dan diperintahkan untuk membayar ganti rugi $30 juta oleh pengadilan federal AS.

Pada awal 2020, Departemen Kehakiman mendakwa tiga anggota badan intelijen militer Korea Utara dengan mencoba mencuri lebih dari $1,3 miliar melalui banyak plot pemerasan dan serangan siber, termasuk lebih dari $100 juta dalam pencurian dari perusahaan cryptocurrency dan serangan siber pada Sony Pictures sebagai pembalasan untuk produksi “The Interview,” sebuah lelucon tentang bangsa yang terisolasi dan pemimpinnya.

Ghaleb Alaumary, yang berbasis di Ontario, mengaku bersalah pada tahun 2020 karena berkonspirasi untuk mencuci uang untuk Korea Utara pada tahun 2018. Sebagai orang yang ditunjuk untuk skema penarikan tunai ATM kelompok tersebut, ia merekrut orang lain untuk mencuci dana terlarang yang diterima dari BankIslami, di mana para peretas melewati mekanisme pencegahan penipuan sehingga mereka dapat mengubah saldo dan meningkatkan batas penarikan. Mereka mendapatkan $6,1 juta dari bank komersial Pakistan.

Alaumary memiliki lebih banyak klien daripada hanya Republik Rakyat Demokratik Korea (DPRK). Dia juga mengaku bersalah atas penipuan karena mengirim email di mana dia berpura-pura mewakili perusahaan konstruksi yang mencari pembayaran dari universitas Kanada; universitas mengiriminya $9,4 juta. Korban lainnya termasuk bank di seluruh Asia dan klub sepak bola Inggris.

Selengkapnya: Decrypt

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Crypto Hacking

Cookies Settings