Senin 04 Apr 2022 14:10 WIB

Kelompok Pertas Lazarus Distribusikan Malware untuk Curi Mata Uang Kripto

Lazarus dikenal sebagai salah satu peretas paling aktif di dunia sejak 2019.

Rep: Noer Qomariah Kusumawardhani / Red: Dwi Murdaningsih
 Sejumlah mata uang kripto di dunia, Bitcoin (bawah kanan), Ethereum (tengah), Ripple (kanan), dan Cardano (kiri).
Foto: EPA
Sejumlah mata uang kripto di dunia, Bitcoin (bawah kanan), Ethereum (tengah), Ripple (kanan), dan Cardano (kiri).

REPUBLIKA.CO.ID, JAKARTA -- Aktor Advanced Persistent Threats (APT) canggih dan tangguh, Lazarus- terkenal karena motif finansialnya yang semakin meningkat. Kini kelompok itu telah membentur bisnis mata uang kripto (cryptocurrency) dengan melakukan trojanisasi baru kepada aplikasi keuangan terdesentralisasi (DeFi) untuk meraup keuntungan. 

Lazarus menyalahgunakan aplikasi sah yang digunakan untuk mengelola dompet mata uang kripto dengan mendistribusikan malware yang memberikan kendali atas sistem yang dimiliki korban.

Baca Juga

Grup Lazarus adalah salah satu aktor APT yang paling aktif di dunia yang setidaknya sudah beroperasi sejak 2009. Tidak seperti kebanyakan grup APT yang disponsori oleh negara, Lazarus dan aktor ancaman lain yang terkait dengan APT ini telah menjadikan keuntungan finansial sebagai salah satu motif utama mereka.

Seiring dengan pertumbuhan pasar mata uang kripto bersama dengan non-fungible token (NFT) dan pasar keuangan terdesentralisasi (DeFi), Lazarus terus menemukan cara baru untuk menargetkan pengguna kripto.

Pada Desember 2021, peneliti Kaspersky menemukan kampanye malware baru, di mana grup Lazarus mengirimkan aplikasi DeFi yang ditrojanisasi kepada bisnis mata uang kripto. Aplikasi ini berisi program sah yang disebut DeFi Wallet, yang menyimpan dan mengelola dompet mata uang kripto.

Saat dijalankan, aplikasi menjatuhkan file berbahaya sekaligus penginstal untuk aplikasi yang sah, hingga akhirnya meluncurkan malware dengan jalur penginstal Trojan. Malware tersebut kemudian menimpa aplikasi yang sah dengan aplikasi yang di-trojan.

Malware yang digunakan dalam skema infeksi ini adalah backdoor berfitur lengkap dengan kemampuan mengendalikan sistem korban dari jarak jauh. Setelah mengendalikan sistem, penyerang dapat menghapus file, mengumpulkan informasi, menghubungkan ke alamat IP tertentu dan berkomunikasi dengan server C2.

Berdasarkan sejarah serangan Lazarus, peneliti menganggap motivasi di balik kampanye ini tidak lain adalah keuntungan finansial. Setelah melihat fungsionalitas backdoor ini, peneliti Kaspersky banyak menemukan tumpang tindih dengan alat lain yang digunakan oleh grup Lazarus, yaitu, cluster malware CookieTime dan ThreatNeedle. Skema infeksi multistage juga banyak digunakan dalam infrastruktur Lazarus.

Peneliti keamanan senior di Tim Riset dan Analisis Global (GreAT) Kaspersky, Seongsu Park mengatakan Kaspersky telah mengamati minat yang tinggi dari kelompok Lazarus terhadap industri mata uang kripto untuk sementara waktu. Kaspersky juga menyaksikan bagaimana mereka mengembangkan metode canggih untuk memikat korban tanpa menarik perhatian pada proses infeksi. Mata uang kripto dan industri berbasisi blockchain terus berkembang dan menarik tingkat investasi yang lebih tinggi.

“Dengan pertumbuhan pasar mata uang kripto, kami sangat yakin minat Lazarus dalam industri ini tidak akan berkurang dalam waktu dekat. Dalam kampanye baru-baru ini, Lazarus menyalahgunakan aplikasi DeFi yang sah dengan mengimitasinya dan menjatuhkan malware, dan ini merupakan taktik umum yang digunakan dalam perburuan kripto. Itulah sebabnya kami mendesak perusahaan untuk tetap waspada terhadap tautan dan lampiran email yang tidak dikenal, karena berpotensi palsu, meskipun tampak familier dan aman,” komentar Seongsu Park melalui siaran pers yang diterima Republika.co.id pada Senin (4/4/2022).

Untuk menghindari menjadi korban serangan yang ditargetkan oleh aktor ancaman yang dikenal maupun tidak dikenal, peneliti Kaspersky merekomendasikan untuk menerapkan langkah-langkah berikut:

Melakukan audit keamanan siber dan pemantauan berkelanjutan terhadap jaringan Anda. Ini bertujuan untuk memperbaiki kelemahan atau elemen berbahaya yang ditemukan di perimeter atau di dalam jaringan.

Berikan staf pelatihan kebersihan keamanan siber dasar, karena banyak serangan yang ditargetkan dimulai dengan phishing atau teknik rekayasa sosial lainnya.

Mengedukasi karyawan untuk mengunduh perangkat lunak dan aplikasi seluler hanya dari sumber terpercaya dan toko aplikasi resmi.

Gunakan produk deteksi dan respons ancaman titik akhir (endpoint detection and response) untuk memungkinkan deteksi insiden tepat waktu dan respons terhadap ancaman tingkat lanjut. Selanjutnya, mengadopsi solusi anti-penipuan yang dapat melindungi transaksi mata uang kripto dengan kemampuan dalam mendeteksi dan mencegah pencurian akun, transaksi tidak dikenal, dan pencucian uang.

Advertisement
Berita Lainnya
Advertisement
Terpopuler
1
Advertisement
Advertisement