Menurut perusahaan keamanan siber AlienVault, pembuat dokumen HWP terinfeksi yang digunakan dalam serangan baru-baru ini di bursa adalah kelompok Lazarus yang didanai pemerintah Korea Utara.
Salah satu bursa mata uang kripto terbesar di Korea Selatan, Bithumb, terkena serangan injeksi kode berbahaya pada dokumen HWP, di mana peretas mencuri lebih dari $30 juta mata uang kripto.
Kelompok Lazarus, atau BlueNoroff, yang mencuri $81 juta dari Bank Sentral Bangladesh pada tahun 2016, diyakini menimbulkan ancaman paling serius bagi bank dan sekarang, mungkin, bagi perusahaan mata uang kripto. Grup Lazarus menggunakan kerentanan ActiveX dalam serangan terhadap perusahaan Korea Selatan. Kini, peretas juga menggunakan serangkaian virus yang tertanam dalam dokumen HWP untuk menyerang peserta pertemuan keuangan G20 baru-baru ini.
AlienVault telah menganalisis tiga dokumen serupa yang terinfeksi kode berbahaya Salah satunya menyebutkan pertemuan Kelompok Kerja Keuangan Internasional G20 yang bertujuan untuk mengoordinasikan kebijakan ekonomi di antara negara-negara maju.
File HWP tertanam dengan kode berbahaya yang memasang kode virus pada sistem yang diserang (misalnya Manuscrypt versi 32-bit, yang memiliki sudah dijelaskan secara rinci oleh peneliti keamanan lainnya). Resume palsu yang terinfeksi juga digunakan. File HWP yang terinfeksi diyakini digunakan oleh grup Lazarus pada awal Mei dan Juni untuk merampok bursa Bithumb.
Perusahaan mata uang kripto dikirimi resume palsu yang sangat mirip dengan dokumen yang digunakan untuk menginstal program Manuscrypt.
“Kami belum bisa memastikannya, tapi kami menduga malware ini terkait dengan pencurian dana dari bursa Bithumb,” catat AlienVault.
Dokumen serupa yang terinfeksi HWP telah dikirim ke pengguna platform kripto di Korea Selatan di masa lalu.
Selain itu, para peneliti memperhatikan bahwa domain yang terkait dengan phishing mata uang kripto didaftarkan ke nomor telepon yang sama dengan domain (itaddnet [.] Com) yang terkait dengan beberapa malware. Artinya, penyerang juga mencuri kredensial, bersamaan dengan mengirimkan malware.
"Aneh kalau Lazarus punya domain terdaftar, biasanya grup tersebut lebih memilih menyusupi situs resmi orang lain. Jadi ini akan menjadi serangan yang tidak biasa jika memang dilakukan oleh anggota geng Lazarus," kata AlienVault.
Kelompok Lazarus kemungkinan besar telah meretas bursa Bithumb awal bulan ini, mengingat mereka telah menyerang bursa tersebut tahun lalu, yang kemungkinan besar memberikan informasi yang diperlukan untuk melakukannya lagi. Sepanjang tahun, kelompok ini juga menyerang bursa mata uang kripto lainnya.
"Serangan peretas kelompok Lazarus sepertinya tidak akan berhenti dalam waktu dekat, mengingat besarnya dana yang dicuri. Keuntungan yang diterima dari serangan terhadap Bank Sentral Bangladesh - hampir 1 miliar dolar AS - adalah 3% dari PDB Korea Utara. Mencuri dana dari organisasi Korea Selatan membantu Korea Utara melemahkan pesaing terdekat, tetangga, dan saingan ideologisnya," kata AlienVault.
Berdasarkan materi dari securityweek.com
Baca juga
Babak baru penambangan abu-abu - penambangan browser
Dengan munculnya penambang javascript, peretas telah secara signifikan memperluas peluang mereka untuk penambangan mata uang kripto yang bersifat parasit.
Waspadalah terhadap dompet yang dibeli di Ebay
Dalam dunia mata uang kripto, orang cenderung tidak mengambil risiko yang tidak perlu. Terutama ketika menerima dan menyimpan kripto, tidak ada alasan untuk mengambil jalan pintas atau menghemat beberapa dolar. Seorang pengguna Reddit tidak menyadarinya. Dia membeli dompet elektronik naas itu di eBay, dan dompet itu dengan cepat menghabiskan saldo kriptonya.
