SlowMist telah menyoroti penipuan phishing baru yang menargetkan pengguna mata uang kripto. Penipuan ini menyamar sebagai rapat Zoom palsu untuk mendistribusikan malware yang mencuri data sensitif. Penipuan ini melibatkan tautan Zoom palsu yang mengelabui korban agar mengunduh file berbahaya yang bertujuan mengekstraksi aset mata uang kripto.

Menurut platform keamanan blockchain SlowMist, para penyerang di balik penipuan tersebut menggunakan teknik phishing canggih yang melibatkan domain yang meniru domain Zoom yang sah. Situs web phishing, “app[.]us4zoom[.]us,” tampak sangat mirip dengan antarmuka situs web Zoom yang asli.

⚠️Waspadalah terhadap serangan phishing yang disamarkan sebagai tautan rapat Zoom!🎣 Peretas mengumpulkan data pengguna dan mendekripsinya untuk mencuri informasi sensitif seperti frasa mnemonik dan kunci pribadi. Serangan ini sering kali menggabungkan rekayasa sosial dan teknik trojan. Baca analisis lengkap kami⬇️… pic.twitter.com/kDExVZNUbv

— SlowMist (@SlowMist_Team) 27 Desember 2024

Korban diminta untuk mengeklik tombol “Luncurkan Rapat”, yang diharapkan akan membawa mereka ke sesi Zoom. Namun, alih-alih membuka aplikasi Zoom, tombol tersebut justru memulai pengunduhan file berbahaya berjudul “ZoomApp_v.3.14.dmg.”

Eksekusi malware dan pencurian data terungkap

Setelah diunduh, file berbahaya tersebut memicu skrip yang meminta kata sandi sistem pengguna. Skrip tersebut mengeksekusi file yang dapat dieksekusi tersembunyi bernama ".ZoomApp," yang dirancang untuk mengakses dan mengumpulkan informasi sistem yang sensitif, termasuk cookie browser, data KeyChain, dan kredensial dompet mata uang kripto.

Menurut pakar keamanan, malware tersebut secara khusus dirancang untuk menargetkan pengguna mata uang kripto, dengan tujuan mencuri kunci pribadi dan data dompet penting lainnya. Paket yang diunduh, setelah diinstal, akan menjalankan skrip yang disebut “ZoomApp.file.”

Setelah dijalankan, skrip tersebut meminta pengguna memasukkan kata sandi sistem, yang tanpa disadari memberikan peretas akses ke data sensitif.

Peretasan kripto melalui tautan Zoom – Sumber: SlowMist

Setelah mendekripsi data, SlowMist mengungkapkan bahwa skrip tersebut akhirnya mengeksekusi osascript, yang mentransfer informasi yang dikumpulkan ke sistem backend penyerang.

SlowMist juga melacak pembuatan situs phishing tersebut hingga 27 hari yang lalu, dan menduga adanya keterlibatan peretas Rusia. Peretas ini telah menggunakan API Telegram untuk memantau aktivitas di situs phishing tersebut, melacak apakah ada yang mengeklik tautan unduhan. Menurut analisis perusahaan keamanan tersebut, para peretas mulai menargetkan korban sejak 14 November.

Dana yang dicuri dipindahkan melalui beberapa bursa

SlowMist menggunakan alat pelacak on-chain MistTrack untuk menyelidiki pergerakan dana yang dicuri. Alamat peretas, yang diidentifikasi sebagai 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, dilaporkan telah meraup keuntungan lebih dari $1 juta dalam bentuk mata uang kripto, termasuk USD0++, MORPHO, dan ETH.

Dalam analisis terperinci, MistTrack mengungkapkan bahwa alamat peretas telah menukar USD0++ dan MORPHO untuk 296 ETH.

Pergerakan kripto yang dicuri dilacak oleh MistTrack. Sumber: MistTrack

Penyelidikan lebih lanjut menunjukkan bahwa alamat peretas menerima transfer ETH kecil dari alamat lain, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, yang tampaknya bertanggung jawab untuk menyediakan biaya transaksi untuk skema peretas.

Alamat tersebut diketahui mentransfer sejumlah kecil ETH ke hampir 8.800 alamat lain, yang menunjukkan bahwa itu mungkin bagian dari platform yang lebih besar yang didedikasikan untuk mendanai biaya transaksi untuk aktivitas terlarang.

Transfer ETH antara alamat yang terkait dengan penipuan tautan Zoom – Sumber: SlowMist

Setelah dana yang dicuri terkumpul, dana tersebut disalurkan melalui berbagai platform. Binance, Gate.io, Bybit, dan MEXC termasuk di antara bursa yang menerima mata uang kripto yang dicuri. Dana tersebut kemudian dikonsolidasikan ke alamat yang berbeda, dengan transaksi mengalir ke beberapa bursa, termasuk FixedFloat dan Binance. Di sana, dana yang dicuri dikonversi menjadi Tether (USDT) dan mata uang kripto lainnya.

Para pelaku kejahatan di balik skema ini berhasil menghindari penangkapan langsung dengan menggunakan metode rumit untuk mencuci dan mengubah keuntungan gelap mereka menjadi mata uang kripto yang banyak digunakan. SlowMist memperingatkan para penggemar kripto bahwa situs phishing dan alamat terkait dapat terus menargetkan pengguna mata uang kripto yang tidak menaruh curiga.

Dari Nol hingga Web3 Pro: Rencana Peluncuran Karier Anda dalam 90 Hari