Lingkungan crypto start-up dipilih oleh para pelaku kejahatan siber karena suatu alasan: perusahaan rintisan sering menerima surat atau file dari sumber yang tidak dikenal.
Misalnya, perusahaan ventura dapat mengirimi mereka kontrak atau file terkait bisnis lainnya.
Pelaku APT memanfaatkan ini sebagai umpan untuk membuat korban membuka lampiran di email – dokumen berkemampuan makro.
Jika dokumen dibuka secara offline, file tersebut tidak akan menghadirkan sesuatu yang berbahaya - kemungkinan besar, itu akan terlihat seperti salinan dari beberapa jenis kontrak atau dokumen lain yang tidak berbahaya.
Tetapi jika komputer terhubung ke Internet pada saat membuka file, dokumen berkemampuan makro lainnya mencapai perangkat korban dan menyebarkan malware.
Kelompok APT ini memiliki berbagai metode dalam gudang infeksi mereka dan menyusun rantai infeksi tergantung pada situasinya.
Selain dokumen Word yang dilengkapi fitur berbahaya, aktor ancaman ini juga menyebarkan malware yang disamarkan sebagai file pintasan Windows yang di-zip.
Selanjutnya ini akan mengirimkan informasi umum korban dan agen Powershell, yang kemudian menciptakan backdoor berfitur lengkap.
Dengan menggunakan ini, BlueNoroff dapat menyebarkan alat berbahaya lainnya untuk memantau korban seperti: keylogger dan pengambil tangkapan layar.
Kemudian penyerang melacak korban selama berminggu-minggu bahkan berbulan-bulan: mereka mengumpulkan keystrokes dan memantau operasi harian pengguna, sambil merencanakan strategi untuk pencurian finansial.
Setelah menemukan target utama yang menggunakan ekstensi browser populer untuk mengelola dompet kripto (misalnya, ekstensi Metamask), mereka akan mengganti komponen utama ekstensi dengan versi palsu.
Menurut para peneliti, penyerang akan menerima pemberitahuan setelah mendapatkan transfer besar. Ketika pengguna yang ditargetkan mencoba mentransfer sejumlah dana ke akun lain, mereka mencegat proses transaksi dan menyuntikkan login mereka sendiri.
Untuk menyelesaikan pembayaran awal, pengguna kemudian mengklik tombol "setuju". Pada saat ini, para pelaku kejahatan siber mengubah alamat penerima dan memaksimalkan jumlah transaksi, yang pada akhirnya menguras akun hanya dalam satu gerakan.
“Karena penyerang terus-menerus menemukan banyak cara baru untuk mengelabui dan menyalahgunakan kerentanan, bahkan bisnis kecil sekalipun harus memberikan edukasi kepada karyawan mereka tentang praktik keamanan siber dasar. Terutama jika perusahaan berkecimpung di ruang lingkup dompet kripto: tidak ada yang salah dengan menggunakan layanan dan ekstensi mata uang kripto, tetapi perhatikan bahwa itu juga merupakan target yang menarik bagi APT dan para pelaku kejahatan siber lainnya. Oleh karena itu, sektor ini perlu dilindungi dengan baik,” komentar Seongsu Park, peneliti keamanan senior di Tim Riset dan Analisis Global (GReAT) Kaspersky.
Untuk perlindungan terhadap organisasi dari kelompok kejahatan siber berbahaya, Kaspersky menyarankan hal berikut:
- Berikan staf Anda pelatihan kebersihan keamanan siber dasar, karena banyak serangan yang ditargetkan dimulai dengan phishing atau teknik rekayasa sosial lainnya.
- Lakukan audit keamanan siber terhadap jaringan Anda dan perbaiki setiap kelemahan yang ditemukan di perimeter atau di dalam jaringan.
- Injeksi ekstensi sulit ditemukan secara manual, kecuali jika Anda sangat familiar dengan basis kode Metamask. Namun, modifikasi ekstensi Chrome meninggalkan jejak. Peramban harus dialihkan ke Mode Pengembang (developer mode) dan ekstensi Metamask dipasang dari direktori lokal, bukan dari toko online. Jika plugin berasal dari toko online, Chrome memberlakukan validasi tanda tangan digital untuk kode dan menjamin integritas kode. Jadi, apabila Anda ragu, periksa ekstensi Metamask dan pengaturan Chrome Anda sekarang.
- Instal solusi anti-APT dan EDR (endpoint, detection & responses), yang memungkinkan penemuan dan deteksi ancaman, investigasi, dan remediasi tepat waktu atas insiden. Berikan tim SOC Anda akses ke intelijen ancaman terbaru dan tingkatkan mereka secara teratur dengan pelatihan profesional. Semua hal di atas tersedia dalam kerangka Kaspersky Expert Security framework.
- Lengkapi dengan perlindungan titik akhir yang tepat, layanan khusus dapat membantu melawan serangan profil tingkat tinggi. Layanan Kaspersky Managed Detection and Response dapat membantu mengidentifikasi dan menghentikan serangan pada tahap awal, sebelum penyerang mencapai tujuannya.
Baca Juga: Indodax Jadi Startup Aset Kripto Terbaik Versi Dunia Fintech Awards