Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for cryptocurrency

cryptocurrency

Peneliti keamanan: Begini cara peretas Lazarus memulai serangannya

by

Grup peretasan Lazarus adalah salah satu ancaman keamanan siber teratas dari Korea Utara, baru-baru ini menarik perhatian pemerintah AS karena pencurian cryptocurrency besar-besaran.

Sekarang para peneliti di NCCGroup telah mengumpulkan beberapa alat dan teknik yang digunakan peretas Lazarus baru-baru ini, termasuk rekayasa sosial di LinkedIn, mengirim pesan ke target kontraktor pertahanan AS di WhatsApp, dan menginstal pengunduh berbahaya LCPDot.

Pada bulan Februari, para peneliti di Qualys menemukan kelompok yang menyamar sebagai kontraktor pertahanan Lockheed Martin, menggunakan namanya sebagai iming-iming untuk peluang kerja dalam dokumen Word yang dicampur. Dokumen berisi makro berbahaya untuk menginstal malware dan mengandalkan Tugas Terjadwal untuk bertahan di sistem.

Lazarus secara historis telah menggunakan LinkedIn sebagai jaringan sosial pilihan untuk menghubungi para profesional dengan tawaran pekerjaan. Pada tahun 2020, para peneliti di F-Secure menemukan kelompok tersebut mencoba merekrut administrator sistem dengan dokumen phishing yang dikirim ke akun LinkedIn target mengenai perusahaan blockchain yang mencari sysadmin baru.

Pada bulan April, Departemen Keuangan AS menghubungkan Lazarus dengan pencurian $600 juta pada bulan Maret dari jaringan blockchain di belakang game play-to-earn Axie Finity.

Pada bulan yang sama, FBI, Cybersecurity and Infrastructure Security Agency, dan Treasury memperingatkan bahwa Lazarus saat ini berfokus pada pertukaran di industri blockchain dan cryptocurrency, menggunakan kampanye spear-phishing dan malware untuk mencuri cryptocurrency.

NCCGroup menemukan bahwa penggunaan profil Lockheed Martin palsu baru-baru ini untuk berbagi iklan pekerjaan dengan target bergantung pada dokumen yang dihosting di domain yang berusaha meniru situs rekrutmen yang berbasis di AS untuk lowongan pemerintah dan pertahanan.

Untuk melewati upaya Microsoft baru-baru ini untuk membatasi penggunaan makro dalam dokumen Office, situs web tersebut menghosting file ZIP yang berisi dokumen berbahaya yang digunakan untuk terhubung dengan server perintah dan kontrol Lazarus.

Microsoft pada bulan April memperkenalkan perilaku default Office baru yang memblokir makro VBA yang diperoleh dari internet dalam dokumen pada perangkat yang menjalankan Windows. Seorang pakar keamanan menyebutnya sebagai “pengubah permainan” karena prevalensi malware makro.

NCCGroup juga memperoleh sampel varian Lazarus dari LCPDot, pengunduh yang baru-baru ini dianalisis oleh Japan CERT, yang menghubungkannya dengan Lazarus.

Setelah mendaftarkan host yang disusupi dengan server perintah dan kontrol, pengunduh menerima muatan lain, mendekripsinya, dan kemudian memuatnya ke dalam memori.

NCCGroup mencantumkan beberapa domain yang mengindikasikan suatu organisasi telah disusupi oleh peretas.

Google pada bulan Maret merinci kampanye luas oleh kelompok terkait Lazarus yang menargetkan ratusan orang di seluruh sektor media dan teknologi dengan tawaran pekerjaan dalam email yang meniru perekrut dari Disney, Google, dan Oracle. Perusahaan analisis Blockchain Chainalysis memperkirakan peretas Korea Utara mencuri $400 juta dalam cryptocurrency pada tahun 2021.

Sumber: ZDnet

AS memperingatkan peretas Lazarus yang menggunakan aplikasi cryptocurrency berbahaya

by

CISA, FBI, dan Departemen Keuangan AS hari ini memperingatkan bahwa kelompok peretasan Lazarus Korea Utara menargetkan organisasi di industri cryptocurrency dan blockchain dengan aplikasi cryptocurrency tertrojan.

Penyerang menggunakan rekayasa sosial untuk mengelabui karyawan perusahaan cryptocurrency agar mengunduh dan menjalankan aplikasi cryptocurrency Windows dan macOS yang berbahaya.

Operator Lazarus kemudian menggunakan alat trojan ini untuk mendapatkan akses ke komputer target, menyebarkan malware ke seluruh jaringan mereka, dan mencuri kunci pribadi yang memungkinkan memulai transaksi blockchain palsu dan mencuri aset kripto korban dari dompet mereka.

“Penyusupan dimulai dengan sejumlah besar pesan spearphishing yang dikirim ke karyawan perusahaan cryptocurrency—seringkali bekerja di administrasi sistem atau pengembangan perangkat lunak/operasi TI (DevOps)—pada berbagai platform komunikasi,” demikian bunyi penasihat bersama yang diterbitkan pada hari Senin.

Aplikasi TraderTraitor yang tertrojan adalah utilitas berbasis Elektron dan lintas platform yang dikembangkan menggunakan JavaScript dan lingkungan runtime Node.js.

Aplikasi TraderTraitor hampir selalu didorong melalui situs web yang menampilkan desain modern yang mengiklankan fitur dugaan aplikasi kripto palsu.

Situs web CryptAIS (CISA)

“Muatan yang diamati termasuk macOS dan Windows varian Manuscrypt yang diperbarui, trojan akses jarak jauh khusus (RAT), yang mengumpulkan informasi sistem dan memiliki kemampuan untuk menjalankan perintah sewenang-wenang dan mengunduh muatan tambahan,” tambah agen federal.

Di antara aplikasi cryptocurrency TraderTraitor berbahaya yang digunakan dalam kampanye ini, saran bersama menyoroti:

DAFOM: “aplikasi portofolio cryptocurrency” (macOS)
TokenAIS: mengklaim membantu “membangun portofolio perdagangan berbasis AI” untuk cryptocurrency (macOS)
CryptAIS: mengklaim membantu “membangun portofolio perdagangan berbasis AI” (macOS)
AlticGO: mengklaim menawarkan harga cryptocurrency langsung dan prediksi harga (Windows)
Esilet: mengklaim menawarkan harga cryptocurrency langsung dan prediksi harga (macOS)
CreAI Deck: mengklaim sebagai platform untuk “kecerdasan buatan dan pembelajaran mendalam” (Windows dan macOS)

Tahun lalu, FBI, CISA, dan Departemen Keuangan AS juga berbagi informasi tentang aplikasi perdagangan crypto jahat dan palsu yang disuntik dengan malware AppleJeus yang digunakan oleh Lazarus untuk mencuri cryptocurrency dari individu dan perusahaan di seluruh dunia.

Daftar aplikasi yang di-trojan menggunakan AppleJeus termasuk Celas Trade Pro, JMT Trading, Union Crypto, Kupay Wallet, CoinGoTrade, Dorusio, dan Ants2Whale.

Departemen Kehakiman A.S. mendakwa tiga anggota Lazarus Group karena mencuri $1,3 miliar uang dan cryptocurrency dalam beberapa serangan terhadap bank, industri hiburan, perusahaan cryptocurrency, dan organisasi lain di seluruh dunia.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas Korea Utara (Lazarus Group, Bluenoroff, dan Andariel) karena menyalurkan aset keuangan yang mereka curi dalam serangan siber kepada pemerintah Korea Utara.

Sumber : Bleeping Computer

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menghentikan pengembangan secara tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekstrak file dari sistem yang terinfeksi dan bergantung pada pemuat dan penghapusnya sendiri, yang meminimalkan jejak infeksi.

Setelah peneliti keamanan @3xp0rt memperoleh sampel, peneliti menemukan bahwa Mars Stealer adalah versi malware Oski yang didesain ulang dengan fungsionalitas yang ditingkatkan.

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian mulai menargetkan aplikasi berikut:

Aplikasi Internet: Google Chrome, Internet Explorer, Microsoft Edge (Versi Chromium), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Browser Sputnik, Browser Privasi Epik, Vivaldi, CocCoc, Browser Uran, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Dompet Rantai Binance, Yoroi, Dompet Bagus, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Semanggi, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONex, Dompet Nabox, KHC, Kuil, Dompet TezBox Cyano, Byone, OneKey, Dompet Daun, DAppPlay, BitClip, Gantungan Kunci Steem, Ekstensi Nash, Hycon Klien Lite, ZilPay, Dompet Coin98.

Dompet Crypto: Bitcoin Core dan semua turunannya (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Dompet yang ditargetkan oleh Mars Stealer
Sumber: 3xp0rt.com

Selain itu, Mars Stealer akan menangkap dan mengirimkan informasi dasar berikut ke C2:

  • IP dan negara
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain

    • Selengkapnya : Bleeping Computer

    Grabber Pencuri Mars Kustom
    Sumber: 3xp0rt.com

    Mars Stealer adalah malware ramping dengan ukuran hanya 95 KB, yang mencoba menghindari keamanan dengan menggunakan rutinitas yang menyembunyikan panggilan API dan teknik enkripsi string menggunakan kombinasi RC4 dan Base64.

    Informasi yang dikumpulkannya dibungkus dalam memori, sementara semua koneksi dengan C2 dilakukan dengan protokol SSL (Secure Sockets Layer), jadi mereka dienkripsi.

    Selain itu, kode Mars Stealer berisi interval fungsi Tidur untuk melakukan pemeriksaan waktu yang akan menghasilkan ketidakcocokan jika debugger digunakan.

    Fungsi tidur anti-debugging
    Sumber: 3xp0rt.com

    Terakhir, malware dapat menghapus dirinya sendiri setelah data pengguna dieksfiltrasi atau ketika operator memutuskan untuk menghapusnya.

    Mars Stealer juga memeriksa apakah pengguna berbasis di negara-negara yang secara historis merupakan bagian dari Persemakmuran Negara-Negara Merdeka, yang umum untuk banyak malware berbasis di Rusia.

    Jika ID bahasa perangkat cocok dengan Rusia, Belarusia, Kazakstan, Azerbaijan, Uzbekistan, dan Kazakstan, program akan keluar tanpa melakukan perilaku jahat apa pun.

    Pemeriksaan bahasa untuk pengecualian target
    Sumber: 3xp0rt.com

    Saat ini, Mars Stealer dijual seharga $140 hingga $160 (versi tambahan) di forum peretasan, sehingga kemungkinan besar akan jatuh ke tangan banyak pelaku ancaman dan digunakan dalam serangan di masa depan.

    Selengkapnya : Bleeping Computer

Malware BHUNT baru menargetkan wallet dan kata sandi crypto Anda

by

Malware pencuri crypto-wallet modular baru yang dijuluki ‘BHUNT’ telah terlihat menargetkan konten dompet cryptocurrency, kata sandi, dan frasa keamanan.

Ini adalah pencuri crypto lainnya yang ditambahkan ke tumpukan besar malware yang menargetkan mata uang digital, tetapi patut mendapat perhatian khusus karena sifatnya yang tersembunyi.

Penemuan dan analisis malware BHUNT baru berasal dari Bitdefender, yang membagikan temuan mereka dengan Bleeping Computer sebelum dipublikasikan.

Untuk menghindari deteksi dan memicu peringatan keamanan, BHUNT dikemas dan sangat dienkripsi menggunakan Themida dan VMProtect, dua pengemas mesin virtual yang menghalangi adanya reverse engineering dan analisis oleh para peneliti.

Pelaku ancaman menandatangani malware yang dapat dieksekusi dengan tanda tangan digital yang dicuri dari Piriform, pembuat CCleaner. Namun, karena pengembang malware menyalinnya dari executable yang tidak terkait, itu ditandai sebagai tidak valid karena ketidakcocokan binary.

Bitdefender menemukan bahwa BHUNT disuntikkan ke explorer.exe dan kemungkinan dikirimkan ke sistem yang disusupi melalui unduhan KMSpico, utilitas populer untuk mengaktifkan produk Microsoft secara ilegal.

Komponen utama BHUNT adalah ‘mscrlib.exe,’ yang mengekstrak modul lebih lanjut yang diluncurkan pada sistem yang terinfeksi untuk melakukan perilaku jahat yang berbeda.

Modul saat ini termasuk dalam executable ‘mscrlib.exe’ BHUNT dijelaskan di bawah ini:

  • blackjack – mencuri isi file wllet, mengkodekannya dengan basis 64, dan mengunggahnya ke server C2
  • chaos_crew – mengunduh muatan
  • golden7 – mencuri kata sandi dari clipboard dan mengunggah file ke server C2
  • Sweet_Bonanza – mencuri informasi dari browser (Chrome, IE, Firefox, Opera, Safari)
  • mrpropper – membersihkan jejak (file argumen)

Dompet yang ditargetkan adalah Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, dan Litecoin.

Selengkapnya: Bleeping Computer

Mengapa Nomor Telepon Bau Sebagai Bukti Identitas

by

Nomor telepon bau untuk keamanan dan otentikasi. Mereka bau karena kebanyakan dari kita telah berinvestasi dalam angka-angka ini sehingga mereka menjadi identitas de facto. Pada saat yang sama, ketika Anda kehilangan kendali atas nomor telepon — mungkin itu dibajak oleh penipu, Anda berpisah atau bercerai, atau Anda terlambat membayar tagihan telepon Anda siapa pun yang mewarisi nomor itu dapat menjadi Anda di banyak tempat online.

Nixon mengatakan sebagian besar perspektifnya tentang identitas seluler diwarnai oleh lensa pekerjaannya, yang membuatnya mengidentifikasi beberapa penjahat terbesar yang terlibat dalam pembajakan nomor telepon melalui serangan pertukaran SIM. Pertukaran SIM ilegal memungkinkan penipu untuk membajak nomor telepon target dan menggunakannya untuk mencuri data keuangan, kata sandi, cryptocurrency, dan barang berharga lainnya dari korban.

Nixon mengatakan banyak perusahaan pada dasarnya telah membangun otentikasi pelanggan mereka di sekitar nomor telepon, dan bahwa banyak situs masih membiarkan pengguna mengatur ulang kata sandi mereka dengan tidak lebih dari kode satu kali yang dikirim ke nomor telepon di akun. Dalam serangan ini, penipu tidak perlu mengetahui kata sandi korban untuk membajak akun: Dia hanya perlu memiliki akses ke nomor ponsel target.

Di luar serangan pertukaran SIM, ada beberapa cara agar nomor telepon dapat ditransfer ke pemilik baru, kata Nixon. Alasan terbesar adalah kurangnya pembayaran untuk tagihan telepon masa lalu. Tetapi mungkin seseorang mengalami perceraian atau perpisahan yang tidak menyenangkan, dan tidak dapat lagi mengakses telepon atau akun telepon mereka. Akun dikirim ke koleksi dan ditutup, dan nomor telepon dilepaskan kembali ke kumpulan umum untuk penugasan kembali setelah jangka waktu tertentu.

Brian Krebs (BK): Anda punya pengalaman sendiri seperti ini. Atau semacam. Anda memberitahu.

Allison Nixon (AN): Setiap perusahaan intelijen ancaman akan memiliki beberapa jenis fungsi bisnis yang memerlukan pembelian ponsel burner cukup sering, yang melibatkan mendapatkan nomor telepon baru. Saat Anda mendapatkan nomor baru, nomor tersebut didaur ulang dari pemilik sebelumnya karena mungkin tidak ada nomor baru lagi. Saya mendapatkan banyak berbagai pesan teks untuk pengaturan ulang kata sandi. Yang terus saya terima adalah SMS dari bank orang ini. Setiap kali dia mendapat setoran, saya akan mendapatkan SMS yang mengatakan berapa banyak yang disetorkan dan beberapa informasi dasar tentang akun tersebut.

Saya mendekati bank karena saya khawatir bahwa mungkin orang acak ini akan terancam oleh penelitian keamanan yang akan kami lakukan dengan nomor baru ini. Saya meminta mereka untuk menghapus nomornya, tetapi mereka mengatakan tidak ada yang bisa mereka lakukan untuk itu.

Suatu kali saya tidak sengaja membajak akun orang secara acak. Saya mencoba untuk mendapatkan kembali akun saya sendiri di penyedia layanan online, dan saya memasukkan nomor telepon burner ke situs, melalui proses reset kata sandi SMS, mendapatkan tautan dan dikatakan ‘Selamat Datang Kembali’ untuk beberapa nama pengguna yang saya tidak’ tidak tahu. Kemudian saya mengklik oke dan tiba-tiba membaca pesan pribadi akun tersebut.

Saya menyadari bahwa saya telah membajak akun pemilik telepon sebelumnya. Itu tidak disengaja, tetapi juga sangat jelas bahwa tidak ada alasan teknis saya tidak dapat membajak lebih banyak akun yang terkait dengan nomor ini. Ini adalah masalah yang mempengaruhi banyak penyedia layanan. Ini bisa saja terjadi di banyak, banyak situs web lain.

BK: Kami tidak selalu terikat dengan nomor telepon kami, kan? Apa yang terjadi?

AN: Seluruh konsep nomor telepon sudah ada sejak seratus tahun yang lalu. Operator akan memasukkan nomor yang Anda tahu terkait dengan teman Anda dan Anda dapat menelepon orang itu dan berbicara dengan mereka. Saat itu, telepon tidak mengikat identitas seseorang, dan kepemilikan nomor telepon itu tidak pernah membuktikan identitas orang itu.

Tetapi hari ini, nomor telepon terikat dengan identitas orang, meskipun kami mendaur ulangnya dan daur ulang ini adalah bagian mendasar dari cara kerja sistem telepon. Terlepas dari kenyataan bahwa daur ulang nomor telepon selalu ada, kami masih memiliki semua perusahaan Internet yang telah memutuskan mereka akan menerima nomor telepon sebagai dokumen identitas dan itu mengerikan.

BK: Bagaimana nomor telepon dibandingkan dengan dokumen identitas fisik yang lebih tradisional?

AN: Ambil konsep tradisional dokumen identitas — di mana Anda harus secara fisik menunjukkan dan menunjukkan ID di beberapa jenis bisnis atau kantor, dan kemudian dari sana mereka akan mencari akun Anda dan Anda dapat melakukan transaksi. Online, ini benar-benar berbeda dan Anda tidak dapat secara fisik menunjukkan ID Anda dan tidak dapat menunjukkan wajah Anda.

Dalam ekosistem Internet, ada berbagai perusahaan dan layanan yang menjual barang secara online yang telah menetapkan berbagai faktor yang dianggap sebagai proxy yang cukup baik untuk dokumen identitas. Anda memberikan nama pengguna, kata sandi, dan terkadang Anda memberikan alamat email atau nomor telepon Anda. Sering kali ketika Anda mengatur akun Anda, Anda memiliki semacam cara yang disepakati untuk membuktikannya dari waktu ke waktu. Berdasarkan protokol yang telah ditetapkan sebelumnya, pengguna dapat masuk dan melakukan transaksi.

Ini bukan sistem yang baik dan cara semuanya bekerja hanya memungkinkan penipuan. Saat Anda terhambat untuk muncul secara fisik di suatu tempat, hanya ada begitu banyak penipuan yang dapat Anda lakukan. Banyak serangan terhadap perusahaan telepon tidak menyerang nilai yang melekat pada nomor telepon, tetapi penggunaannya sebagai dokumen identitas.

BK: Anda mengatakan daur ulang nomor telepon adalah bagian mendasar dari cara kerja sistem telepon. Bicara lebih banyak tentang itu, betapa umum itu.

AN: Anda bisa saja bercerai, atau tiba-tiba jatuh miskin setelah kehilangan pekerjaan. Tetapi nomor itu dapat diberikan, dan jika itu diberikan kepada orang lain, Anda tidak akan mendapatkannya kembali. Ada semua jenis situasi kehidupan di mana nomor telepon bukan pengidentifikasi yang baik.

Mungkin sebagian alasan mengapa seluruh masalah daur ulang nomor telepon tidak mendapat banyak perhatian adalah orang-orang yang tidak dapat membayar tagihan mereka mungkin tidak memiliki banyak uang untuk dicuri, tetapi cukup mengerikan bahwa situasi ini dapat disalahgunakan untuk menendang orang ketika mereka jatuh. Saya tidak berpikir banyak uang dapat dicuri dengan cara ini, tetapi saya pikir fakta bahwa ini benar-benar terjadi dapat merusak keseluruhan sistem.

BK: Menurut saya itu akan menjadi hal yang baik jika lebih banyak pedagang online memudahkan untuk masuk ke situs mereka tanpa menggunakan kata sandi, tetapi dengan aplikasi yang hanya bertanya, apakah Anda baru saja mencoba masuk? Ya? Oke. Boom, Anda sudah login. Sepertinya login “push” semacam ini dapat memanfaatkan ponsel pintar pengguna tanpa mengandalkan nomor — atau kata sandi, dalam hal ini.

Jika nomor telepon buruk, apa yang harus kita lihat sebagai pengenal yang lebih andal dan tangguh?

AN: Itu adalah sesuatu yang banyak saya pikirkan akhir-akhir ini. Sepertinya semua opsi lain buruk atau sangat kontroversial. Di satu sisi, saya ingin bank saya tahu siapa saya, dan saya ingin mengungkapkan email dan nomor telepon saya kepada mereka sehingga mereka dapat memverifikasi itu saya dan tahu bagaimana menghubungi saya jika diperlukan. Tetapi jika saya menyiapkan akun email, saya tidak ingin harus memberikan semua informasi saya kepada mereka. Saya tidak terikat pada satu ide alternatif, saya hanya tidak menyukai apa yang kita lakukan sekarang.

Sumber : Krebson Security

Peretas mencuri lebih dari $4 miliar dalam cryptocurrency tahun ini, berikut daftar lengkap pencurian crypto terbesar pada tahun 2021

by

Decentralized finance (DeFi) mengalami lonjakan pencurian terbesar ​​sektor yang baru dan masih berkembang, menjadikannya target yang menarik bagi pencuri.
Eksploitasi Poly Network, yang menghasilkan lebih dari $610 juta dalam koin kripto yang tersedot, bukan hanya serangan DeFi terbesar tahun ini, tetapi yang terbesar dalam semua sejarah DeFi.

Tahun ini peretas berhasil lolos dengan $4,25 miliar. Itu hampir tiga kali lipat dari tahun 2020, ketika sekitar $ 1,49 miliar aset crypto dicuri. Comparitech mengumpulkan data untuk menunjukkan bahwa pada tahun 2021 terjadi enam dari sepuluh peretasan crypto paling mahal sepanjang masa. cara mereka mencuri crypto tahun ini adalah melalui peretasan protokol keuangan terdesentralisasi (DeFi) dengan itu saja terhitung $ 1,4 miliar dari total dana crypto yang dicuri tahun ini.

Pertumbuhan popularitas token non-fungible (NFT) juga telah mendorong aktivitas baru di mana aktor jahat menemukan cara baru dan inovatif untuk mengelabui orang agar membeli aset digital palsu atau berinvestasi dalam penipuan.

Poly Network $610 juta dicuri pada Agustus 2021
Seorang peretas ‘topi putih’ melakukan peretasan cryptocurrency tunggal terbesar tahun ini, mengklaim telah melakukannya untuk mengekspos lubang keamanan dalam kontrak pintar ‘rantai silang’ yang digunakan oleh perusahaan.

Perusahaan kemudian menangguhkan transaksi dan memperbaiki bug, bahkan ketika bernegosiasi dengan peretas dan pertukaran untuk membekukan cryptocurrency yang dicuri untuk sementara. Seluruh jumlah yang dicuri diambil kembali selama seminggu. Mereka menawarkan pekerjaan dan hadiah $500.000, yang ditolak oleh peretas tetapi kemudian mengeluh karena tidak mendapatkan hadiah.

Poly Network adalah platform keuangan terdesentralisasi (DeFi) yang memungkinkan pengguna untuk meminjamkan, meminjam, dan memperdagangkan mata uang kripto dengan keuntungan. Kontrak pintar dibangun ke dalam token kripto, dengan persyaratan yang dijalankan sendiri yang menentukan apa yang harus dilakukan token dalam keadaan yang berbeda, misalnya, menjual ke entitas X seharga $17,99 jika harga turun di bawah $18.

Platform lintas rantai memungkinkan pengguna untuk bertransaksi di blockchain yang sama sekali berbeda, tetapi teknologinya masih berkembang, menjadikannya target yang menarik untuk diretas. Sejumlah peretasan kripto baru-baru ini menargetkan platform kripto DeFi yang menggunakan teknologi lintas rantai.

BitMart – $196 juta dicuri pada Desember 2021

Perusahaan mengatakan $ 100 juta dari kerugian itu ada di blockchain Ethereum, yang paling sering menjadi sasaran peretasan terbesar tahun ini.

CEO BitMart Sheldon Xia mengumumkan bahwa mereka akan berbicara dengan tim proyek crypto untuk mengidentifikasi solusi, dan menggunakan dana perusahaan sendiri untuk memberi kompensasi kepada pengguna yang terpengaruh.

Dompet panas digunakan oleh pertukaran crypto seperti BitMart, untuk menyimpan bagian paling likuid dari aset digital mereka, untuk transaksi yang lebih cepat atas nama pengguna. Dompet dingin, di sisi lain, menyimpan aset digital secara offline tanpa paparan internet, sehingga kurang rentan terhadap peretas.

Boy X Highspeed (BXH) – $139 juta dicuri pada November 2021

Kunci administrator yang bocor kehilangan BXH sebagian besar kepemilikan mereka di Binance Smart Chain (BSC). Penarikan pada blockchain BSC mereka ditangguhkan pada hari yang sama, dilanjutkan hanya empat minggu kemudian. Penyisiran keamanan mereka memakan waktu seminggu, dengan semua celah keamanan diklaim dapat dihilangkan dalam waktu dua minggu setelah serangan.

CEO mereka dan PeckShield, seorang peneliti keamanan blockchain independen, berspekulasi bahwa eksploitasi ini bisa menjadi ‘pekerjaan orang dalam’. Perusahaan menawarkan hadiah hingga $ 10 juta untuk mengidentifikasi para peretas, meskipun tidak ada pengumuman lebih lanjut mengenai identifikasi.

Vulcan Forged – $135 juta dicuri pada Desember 2021

Peretas membantu diri mereka sendiri ke kunci pribadi dompet crypto dari 96 pengguna, dari total 6501 pada saat itu. Mereka kemudian mencuri 9% dari semua token PYR yang tersedia (4,5 juta PYR), meninggalkan kerugian $135 juta. Pengguna yang terkena dampak telah dijanjikan penggantian dari cadangan perusahaan sendiri.

CEO Jamie Thomson mengatakan mereka akan menggunakan dompet terdesentralisasi, untuk mencegah masalah seperti itu di masa depan. Perusahaan telah memberikan hadiah sebesar $500.000 untuk mengidentifikasi peretas, dan juga berkoordinasi dengan bursa besar untuk mencoba dan mencegah peretas menjual token yang dicuri.

Vulcan Forged menyebut dirinya sebagai studio game GameFi yang membuat game play-to-earn (P2E) seperti Vulcan Verse dan Vulcan Chess, yang beroperasi menggunakan token PYR dan NFT mereka sendiri. Ini menjalankan pasar NFT untuk memungkinkan pemain menguangkan, dan pertukaran terdesentralisasi (DEX) untuk memperdagangkan cryptocurrency. Studio merencanakan peningkatan untuk mata uang PYR, tetapi peretasan menurunkan harganya sebesar 26% menurunkan kapitalisasi pasarnya sebesar 35%.

Cream Finance – $130 juta dicuri pada Oktober 2021

Dalam serangan yang mengeksploitasi fasilitas pinjaman kilatnya, peretas berhasil mencuri semua aset likuid yang dimiliki platform di blockchain Ethereum.

Perusahaan mengeluarkan pernyataan bahwa kerentanan telah ditambal dengan bantuan komunitas, dan bahwa aset blockchain mereka yang lain tidak terpengaruh. Dalam waktu kurang dari sebulan, perusahaan mengumumkan kompensasi untuk pengguna yang terkena dampak dari kantong mereka sendiri, yang didanai oleh alokasi token tim mereka.

KRIM. Finance, yang merupakan platform pinjaman DeFi, melaporkan tiga serangan lain tahun ini – pada bulan September ($18,8 juta), Agustus ($29 juta), dan Februari ($37 juta) – menambah kerugian sebesar $215 juta.

Badger DAO – $120 juta dicuri pada Desember 2021

Peretas mencuri aset berbasis Bitcoin dan Ethereum dari lusinan dompet pengguna, dalam serangan yang direncanakan secara strategis kode berbahaya disuntikkan ke front-end situs web platform hampir sebulan sebelumnya.

PeckShield mengidentifikasi kerugian terbesar 896 Bitcoin dari satu dompet yang bernilai $44 juta dengan harga saat ini. DAO telah menangguhkan aktivitas setelah mengetahui serangan itu, tetapi menyelesaikan penyelidikannya dalam seminggu dan kembali ke operasi normal. Komunitas Badger sedang mempertimbangkan rencana untuk memulihkan dana yang hilang, dan solusi untuk mengganti kerugian.

Liquid Global – $97 juta dicuri pada Agustus 2021

Peretas memperoleh akses ke dompet panas Liquid, menjarah Ether, Bitcoin, XRP, dan 66 mata uang lainnya. Aset berbasis Ethereum menyumbang lebih dari 78% dari kerugian.

Peretas mengalihkan sebagian dari jarahan mereka melalui platform terdesentralisasi seperti UniSwap, sementara aset yang ditransfer ke bursa kripto besar lainnya dibekukan atas permintaan Liquid. Bursa Jepang melanjutkan perdagangan setelah mentransfer dana yang tidak terpengaruh ke dompet dingin, dan meningkatkan keamanan untuk menerapkan brankas yang aman.

Pada akhir Agustus, Liquid mengatakan tidak akan ada dampak pada saldo pengguna. Untuk mengkompensasi pengguna dan menutupi kerugian mereka sendiri, perusahaan mengumpulkan $ 120 juta sebagai pinjaman dari pertukaran crypto FTX.

EasyFi – $80 juta dicuri pada April 2021

Seorang peretas menargetkan perangkat komputasi pendiri untuk mendapatkan kunci adminnya dan mentransfer mata uang ke dirinya sendiri. Kerugian awal adalah $6 juta stablecoin dan EASY senilai $120 juta, token asli dari proyek EasyFi.

Dampaknya pada pengguna terbatas ketika harga token EASY turun 50% dalam skenario likuiditas rendah, sehingga menyulitkan peretas untuk menjual tokennya. Selain itu, token ditingkatkan menjadi ‘EZ 2.0’ empat hari kemudian, membuat kepemilikan peretas tidak berguna. Dalam blognya, pendiri Ankitt Gaur menulis bahwa pengguna yang terkena dampak akan diberi kompensasi, 25% dalam bentuk stablecoin dan 75% sebagai token IOU.

AscendEX – $77,7 juta dicuri pada Desember 2021

Peretas membobol dompet panas AscendEX, pertukaran cryptocurrency yang berbasis di Singapura. Menurut perusahaan keamanan blockchain PeckShield, hampir 77% dari total kerugian terdiri dari aset berdasarkan blockchain Ethereum.

Pertukaran mengkonfirmasi bahwa dompet dingin mereka tidak terpengaruh, dan bahwa setiap pengguna yang terpengaruh akan “dilindungi sepenuhnya.” Layanan penyetoran dan penarikan ditangguhkan untuk peninjauan keamanan, tetapi layanan perdagangan telah dilanjutkan dalam seminggu. Perusahaan mengumumkan pada 23 Desember bahwa penyetoran dan penarikan telah dilanjutkan untuk sebagian besar mata uang utama.

bZx – $55 million stolen in November 2021
Dimulai sebagai serangan phishing sederhana dalam dokumen Word, peretas berhasil mengakses kunci pribadi platform dan ‘meningkatkan’ kontrak pintar untuk mentransfer dana. Sebagian besar kerugian berada di jaringan Polygon dan Binance Smart Chain (BSC), sementara infrastruktur terdesentralisasi mereka mengalami kerugian yang relatif lebih rendah dalam mata uang Ethereum.

platform bZx memberi tahu proyek dan pertukaran crypto lainnya untuk membekukan cryptocurrency yang dicuri. Perusahaan meminta perusahaan keamanan Kaspersky untuk menyelidiki, yang percaya para peretas adalah Grup Lazarus yang memiliki hubungan dengan Korea Utara.

Bahkan saat mereka terus melacak dana dan bekerja dengan lembaga penegak hukum, komunitas telah menyetujui rencana kompensasi untuk membantu mereka yang menderita kerugian akibat peretasan. bZx DAO (organisasi otonom terdesentralisasi) menyebut dirinya sebagai platform DeFi untuk perdagangan margin dan pinjaman.

Selengkapnya : Bussines Insider

Bot Twitter Berpose Sebagai Staf Pendukung untuk Mencuri Cryptocurrency Anda

by

Scammers memantau setiap tweet yang berisi permintaan dukungan pada MetaMask, TrustWallet, dan dompet crypto populer lainnya, dan menanggapinya dengan tautan penipuan hanya dalam hitungan detik.

Untuk melakukan serangan phishing yang ditargetkan ini, scammers menyalahgunakan API Twitter yang memungkinkan mereka memantau semua tweet publik untuk kata kunci atau frasa tertentu.

Jika frasa tersebut hadir, program yang sama ini akan mengarahkan bot Twitter di bawah kendali scammer untuk secara otomatis membalas tweet sebagai agen dukungan palsu dengan tautan ke penipuan yang mencuri dompet cryptocurrency.

Saya butuh kepercayaan CS dompet metamask phantom yoroi!
Saya kehilangan semua frase pemulihan crypto dan password saya.
Ayo maju semua bot Anda!
— @LawrencAbrams

Serangan ini bukan hal baru, dan kami melaporkannya pada bulan Mei. Namun, serangan ini telah berkembang ke cryptocurrency lainnya, dan penipuan terus merajalela.

Oleh karena itu, kami merasa sangat penting bagi pembaca kami untuk meninjau kembali serangan ini dan menggambarkan cara kerjanya, sehingga Anda tidak secara tidak sengaja menjadi korban.
Anatomi penipuan crypto Twitter

Tes pertama kami dari bot penipuan cryptocurrency ini adalah mengemas tweet dengan banyak kata kunci dan melihat apa yang akan terjadi.

Dalam tes yang dilakukan oleh BleepingComputer, tweet yang berisi kata-kata ‘dukungan,’ ‘bantuan,’ atau ‘bantuan’ bersama dengan kata kunci seperti ‘MetaMask,’ ‘Phantom,’ ‘Yoroi,’ dan ‘Trust Wallet’ akan menghasilkan balasan yang hampir seketika dari bot Twitter dengan formulir atau akun dukungan palsu.

Kata kunci lain memiliki hasil yang beragam, seperti nama dompet dan kata ‘dicuri.’
————————————————————–

Kami kemudian melakukan tes lebih lanjut untuk mencoba dan mempersempit kata kunci apa yang akan memicu balasan bot.

Dalam beberapa detik setelah memposting tes kami, kami menerima balasan dari banyak akun penipuan yang berpura-pura menjadi akun dukungan MetaMask dan TrustWallet, “korban sebelumnya,” atau pengguna yang membantu.

Semua balasan scammer berbagi tujuan yang sama – untuk mencuri frasa pemulihan untuk dompet korban, yang kemudian dapat digunakan penyerang untuk mengimpor dompet ke perangkat mereka sendiri.

Ketika memandu untuk mengisi frase pemulihan, mereka memakai bahasa konyol kalau itu sedang diproses oleh mereka “bot cloud terenkripsi,” mencoba meyakinkan pengguna untuk memposting informasi sensitif.

Setelah frase pemulihan dikirim ke penyerang, pupus sudah harapan. Mereka sekarang memiliki akses penuh ke cryptocurrency dalam dompet Anda dan dapat mentransfernya ke dompet lain di bawah kendali mereka.

Sebelum Anda mengatakan bahwa tidak ada yang “kena” penipuan ini, sayangnya, itu tidak benar. Sudah banyak pengguna Twitter yang dompet, cryptocurrency, dan NFT-nya dicuri.

@merchant_token saya tidak dapat mengubah alamat penarikan saya dari Binance ke metamask, jadi saya menghubungi dan telah tertipu oleh dukungan metamask palsu @MetaMasko yang mencuri token saya dari Dompet Metamask saya.
— @fc_sebastien

Terima kasih Kenzie. Saya mendapatkan apa yang saya pikir adalah dukungan pelanggan untuk dana yang hilang sejak minggu lalu. Dukungan pelanggan palsu berbagi tautan, dan melalui itu mereka mengekstrak Metamask saya. Saya sudah sepanjang hari mencoba untuk setidaknya memulihkan seni yang tidak dijual.
— @NightversionHQ

————————————————————–

Twitter mengatakan kepada BleepingComputer bahwa menggunakan API Twitter untuk spam bertentangan dengan aturan dan bahwa mereka secara aktif bekerja pada metode baru untuk mencegah serangan ini.

“Ini melanggar aturan kami untuk menggunakan taktik penipuan di Twitter untuk mendapatkan uang atau informasi keuangan pribadi, termasuk melalui aktivitas otomatis. Kebijakan Pengembang kami juga secara ketat melarang penggunaan API Twitter dan produk pengembang untuk mengirim spam kepada orang-orang,” jelas juru bicara Twitter.

“Ketika kami mengidentifikasi aplikasi atau akun yang melanggar kebijakan ini, kami mengambil tindakan penegakan hukum yang tepat. Kami terus beradaptasi dengan metode yang berkembang dari aktor jahat dan kami akan terus bergerak cepat untuk mengatasi penipuan cryptocurrency di platform saat mereka berevolusi.”

Jangan pernah berbagi frasa pemulihan!

Sebagai aturan umum, Anda tidak boleh membagikan frasa pemulihan dompet Anda dengan siapa pun. Frasa pemulihan hanya untuk Anda, dan tidak ada orang pendukung yang sah dari MetaMask, TrustWallet, atau di tempat lain yang akan memintanya.

Penting juga untuk diingat untuk tidak membagikan layar Anda dengan pengguna yang tidak tepercaya yang kemudian meminta Anda menampilkan frasa pemulihan Anda. Pada saat itu, mereka dapat dengan mudah mengambil tangkapan layar dan menuliskannya secara manual.

Pada akhirnya, serangan ini akan berlanjut kecuali Twitter mencari cara untuk mencegah bot ini merajalela, membatasi penggunaan kata kunci tertentu, atau menempatkan kontrol yang lebih ketat pada siapa yang dapat bergabung dengan platform pengembang mereka.

Pembaruan 12/7/21: Menambahkan pernyataan dari Twitter.

Sumber: Bleepingcomputer

Perubahan Baru pada Penipuan Kartu Hadiah Berkembang di Black Friday

by

Barang dagangan palsu dan crypto-jacking adalah salah satu cara baru penjahat dunia maya akan mencoba menipu orang-orang yang berbondong-bondong online untuk Black Friday dan Cyber ​​Monday.

Black Friday cyber-pariah telah mengubah penipuan kartu hadiah untuk lebih menargetkan pembeli online modern yang haus akan penawaran pasca-Thanksgiving.

Para ahli memperingatkan taktik baru termasuk generator kartu hadiah palsu yang menginstal malware yang dirancang untuk mengendus alamat dompet cryptocurrency korban.

Penipuan Black Friday dan Cyber ​​Monday berbasis internet telah menjadi hal biasa seperti Parade Hari Thanksgiving Macy. Itu sebabnya scammer menabung untuk mencari cara baru untuk menjerat pembeli yang paham dunia maya.

Dalam postingan Selasa (23/11/2021), para peneliti di Malwarebytes Labs, menguraikan penipuan kartu hadiah terbaru tahun ini. Salah satu sentuhan baru termasuk menawarkan kartu hadiah dengan harga yang jauh lebih murah daripada nilai nominal sebagai taktik untuk menarik pengguna agar membeli kartu hadiah curian atau mengunduh malware.

“Jika Anda melihat situs web yang menawarkan semua jenis diskon pada kartu hadiah, Anda dapat yakin bahwa ini akan menjadi palsu atau diperoleh secara ilegal dan Anda dapat bertindak sebagai pagar,” tulis Pieter Artnz, Malwarebytes peneliti intelijen malware.

Selengkapnya: Threat Post