Teknogav.com - Pada Mei 2024, Kaspersky menemukan serangan sangat canggih yang menargetkan industri aset kripto. Penyerang mengerahkan banyak waktu dan upaya untuk membuat latar belakang yang kredibel dan rekayasa sosial. Tujuan upaya tersebut adalah untuk memikat pemilik aset kripto ke situs mereka. Situs-situs web dirancang secara profesional agar terlihat seperti halaman produk yang resmi. Namun, ketika korban mengklik tautan, semuanya sudah terlambat, situs tersebut akan mengeksploitasi kerentanan zero-day di Google Chrome. Eksploitasi tersebut bertujuan untuk menginstal malware yang biasa digunakan peretas Korea Utara.
Kaspersky segera melaporkan kerentanan yang dieksplotasi ini secara aktif ke Google, setelah menemukan serangan tersebut. Kemudian Google pun merilis tambalan sebagai CVE-2024-4947. Boris Larin, Kepala Peneliti Keamanan, Kaspersky GReAT mempresentasikan temuan tersebut di ajang Security Analyst Summit (SAS) 2024 di Bali. SAS merupakan ajang tahunan yang digelar Kaspersky untuk berbagi wawasan dan tren terkait keamanan siber.
Baca juga: Angkat Tema Ruang Angkasa, SAS 2024 Tekankan Pentingnya Keamanan Siber
Eksploitasi kerentanan zero-day pada Google Chrome dilakukan penyerang menggunakan situs permainan kripto palsu. Tujuan aksi ini adalah untuk menginstal spyware atau perangkat lunak pengintai dan mencuri kredensial-kredensial dompet. Kampanye berbahaya yang canggih ini dilakukan oleh kelompok APT Lazarus yang mengincar investor aset kripto di seluruh dunia.
Serangan malware Manuscrypt berhasil diidentifikasi para pakar Kaspersky pada Mei 2024 saat menganalisa insiden dalam telemetri Kaspersky Security Network. Malware tersebut digunakan kelompok Lazarus sejak tahun 2013 dan didokumentasikan Kaspersky GReAT dalam 50 kampanye unik yang menargetkan berbagai industri. Analisis lebih lanjut mengungkapkan kampanye berbahaya canggih yang mengandalkan teknik rekayasa sosial dan AI generatif untuk menargetkan investor aset kripto.
Kelompok Lazarus dikenal atas serangan yang sangat canggih pada platform aset kripto dan memiliki riwayat penggunaan eksploit zero-day. Kampanye yang baru terungkap ini mengikuti pola yang sama. Para peneliti Kaspersky menemukan pelaku ancaman ini mengeksploitasi dua kerentanan.
Baca juga: Sesuai Nama, Trojan Perbankan Grandoreiro Punya Tujuan Besar-besaran
Kerentanan tersebut termasuk bug yang sebelumnya tidak diketahui dalam V8, JavaScrip sumber terbuka Google dan mesin WebAssembly. Setelah Kaspersky melaporkan kerentanan tersebut ke Google, kerentanan zero-day tersebut ditangani dengan CVE-2024-4947. Penjahat siber dapat mengeksekusi kode arbitrer, memintas fitur-fitur keamanan dan melakukan berbagai kegiatan berbahaya dengan mengeksploitasi kerentanan tersebut. Kerentanan lain digunakan untuk memintas perlindungan sandbox V8 milik Google Chrome.
Penyerang mengeksploitasi kerentanan ini melalui situs game palsu yang mengundang pengguna untuk bersaing secara global dengan tank NFT. Fokus penyerang adalah membangun rasa percaya untuk memaksimalkan efektivitas kampanye. Situs dirancang rinci untuk membuat kegiatan promosi tampil seasli mungkin. Hal ini termasuk pembuatan akun media sosial di X dan LinkedIn untuk mempromosikan game tersebut selama beberapa bulan. Akun tersebut menggunakan gambar yang dibuat dengan AI untuk meningkatkan kredibilitas. Lazarus telah berhasil mengintegrasikan AI generatif dalam operasi mereka. Para pakar Kaspersky mengantisipasi bahwa para penyerang akan merancang serangan-serangan yang lebih canggih menggunakan teknologi tersebut.
Baca juga: ESET Research Ungkap Modus Operandi Lazarus Manfaatkan LinkedIn dan WhatsApp
Para penyerang juga berusaha merangkul para influencer aset kripto untuk promosi lebih lanjut. Upaya ini menggunakan kehadiran media sosial mereka untuk menyebarkan ancaman dan juga untuk menjadikan akun kripto mereka sebagai sasaran secara langsung.
situs game kripto palsu yang mengeksploitasi kerentanan zero-day untuk menginstal spyware |
"Sebelumnya, kita telah melihat pelaku APT mengejar keuntungan finansial, kampanye ini unik. Taktuk yang digunakan para penyerang kali imi melampaui yang biasa, dengan menggunakan game yang dapat berfungsi sepenuhnya sebagai kedok untuk mengeksploitasi zero-day Google Chrome dan menginfeksi sistem yang menjadi sasaran," ucap Boris.
Lazarus merupakan pelaku yang sangat berbahaya, sehingga tindakan mengklik tautan bisa berakibat fatal. Komputer pribadi (PC) atau seluruh jaringan perusahaan bisa terkompromikan sepenuhnya. Upaya yang diinvestasikan dalam kampanye ini begitu signifikan sehingga menunjukkan bahwa para pelaku memiliki rencana ambisius. Dampak sebenarnya bisa lebih luas lagi, berpotensi mempengaruhi pengguna dan bisnis di seluruh dunia.
Para pakar mengungkapkan game asli yang nampaknya merupakan purwarupa untuk versi penyerang. Segera setelah para penyerang meluncurkan kampanye untuk mempromosikan game mereka, pengembang game sesungguhnya mengklaim bahwa dana senilai USD20.000 dalam aset kripto sudah ditransfer dari dompet mereka. Logo dan desain game palsu sangat mirip dengan yang asli. Perbedaannya hanya pada penempatan logo dan kualitas visual.
Berdasarkan kemiripan dan tumpang tindih dalam kode pemrograman, pakar Kaspersky menekankan bahwa anggota-anggota Lazarus sangat berusaha memberikan kredibilitas pada serangan mereka. Mereka membuat game palsu menggunakan kode sumber curian, mengganti logo dan seluruh referensi ke game asli untuk meningkatkan ilusi keautentikan dalam versi yang hampir identik tersebut.