Peretas menyerang para ahli kripto dengan menyamar sebagai investor ventura - ForkLog: cryptocurrency, AI, singularitas, masa depan

# Peretas menyerang spesialis kripto dengan kedok investor ventura

Analis Moonlock Lab telah mengungkap serangan skala besar terhadap pengembang Web3 dan spesialis kripto. Peretas menyamar sebagai pemodal ventura dan menemukan korban di LinkedIn.

Penyerang memuji proyek spesialis dan menawarkan kerja sama. Setelah itu, mereka mengirim tautan ke konferensi video palsu yang menginfeksi komputer dengan virus.

Ilusi Bisnis yang Sah

Para penyerang menciptakan tiga dana kripto fiktif: SolidBit Capital, MegaBit, dan Lumax Capital. Situs web organisasi terlihat otentik. Ini berisi sejarah perusahaan, portofolio investasi, dan daftar eksekutif. Gambar wajah karyawan dihasilkan oleh jaringan saraf.

Sumber: Moonlock Lab.Penipu menulis ke spesialis dari akun palsu. Mereka memperkenalkan diri sebagai manajer puncak dana ini. Dialog dimulai dengan pujian terhadap jasa profesional korban

Infeksi melalui ClickFix

Penyerang dengan cepat mentransfer komunikasi ke pesan instan dan mengundang mereka ke panggilan video. Korban menerima tautan ke layanan Calendly. Alamat tersebut mengarahkan pengguna ke salinan persis dari Zoom, Google Meet, atau layanan serupa lainnya.

Jendela pemeriksaan Cloudflare muncul di layar. Sistem meminta Anda untuk mencentang kotak dan mengonfirmasi bahwa pengguna bukan robot. Ini adalah teknik peretasan ClickFix

Mengklik tombol tanpa terlihat menyalin kode berbahaya ke clipboard. Situs ini menunjukkan instruksi animasi dengan timer. Pengguna diminta untuk membuka terminal sistem, menempelkan teks yang disalin dan menekan Enter

Kode secara otomatis mengenali sistem operasi:

• di Windows Proses tersembunyi dimulai langsung di RAM. Virus tidak menyimpan file ke hard drive, yang memungkinkan Anda melewati sistem perlindungan;
• di macOS skrip memeriksa Python, diam-diam mengunduh perpustakaan yang diperlukan dan berakar di sistem.

Sumber: Moonlock Lab.In beberapa kasus, peretas mengirimi korban aplikasi yang sepenuhnya menyalin antarmuka Zoom asli di Mac. Program ini mensimulasikan jendela otorisasi, mengumpulkan kata sandi dan mengirimkannya ke bot Telegram penipu.

Menghubungi peretas Korea Utara

Alamat situs palsu terdaftar atas nama Anatoly Bigdash dari Boston, AS. Para ahli meragukan realitas pria ini.

Sumber: Moonlock Lab.Para peneliti telah melihat kecocokan taktik dengan metode pengelompokan UNC1069. Tim ini telah meretas proyek kripto sejak 2018. Analis Mandiant sebelumnya telah mengaitkannya dengan Korea Utara. Penjahat menggunakan struktur tautan berbahaya yang identik dan skenario penipuan serupa melalui panggilan video palsu.

Untuk melindungi dari serangan, para ahli merekomendasikan untuk memeriksa tanggal pendaftaran domain lawan bicara. Layanan hukum tidak pernah meminta pengguna untuk memasukkan perintah ke terminal untuk mengonfirmasi identitas mereka atau memulai siaran. Anda dapat mengenali tangkapan pada tahap mengklik tautan eksternal.

Ingatlah bahwa pada Juni 2025, Mehdi Farouk, mitra investasi di perusahaan modal ventura Hypersphere, menjadi korban serangan phishing melalui panggilan Zoom palsu.