Sebuah operasi siber terlihat baru-baru ini meniru aplikasi cryptocurrency SafeMoon dan menggunakan pembaruan palsu untuk memikat pengguna Discord ke situs web yang mendistribusikan alat akses jarak jauh (RAT) yang terkenal.
SafeMoon adalah salah satu altcoin terbaru yang telah diluncurkan sejak enam bulan lalu. Seiring perjalanannya SafeMoon telah menjadi sangat populer, karena sifatnya yang sangat fluktuatif, hal ini karna didorong oleh para influencer dan banyak penggemar di media sosial.
Desas-desus tidak luput dari perhatian scammers, karena penipuan yang menargetkan pengguna cryptocurrency, termasuk penipuan yang menjatuhkan nama selebriti untuk memberikan daya pikat ekstra telah merajalela selama bertahun-tahun.
Trik tipuan Safemon
Tipuan yang mengeksploitasi popularitas dadakan SafeMoon dimulai dengan pesan yang dikirim scammer ke sejumlah pengguna di Discord, di mana mereka berpura-pura sebagai akun SafeMoon resmi di situs untuk mempromosikan versi baru aplikasi.
Jika Anda mengklik URL dalam pesan, Anda akan mendarat di situs web yang tampaknya dirancang untuk melihat bagian dari situs resmi SafeMoon, tepatnya versi lama.
Pertama kali dilaporkan oleh pengguna Reddit pada Agustus 2021, nama domain juga meniru versi sahnya, kecuali bahwa ia menambahkan huruf tambahan di akhir dengan harapan perbedaannya tidak akan diperhatikan oleh kebanyakan orang dengan tergesa-gesa untuk mendapatkan “pembaruan” yang diperlukan. Pada saat penulisan, situs berbahaya tersebut masih aktif dan berjalan.
Semua tautan eksternal di situs adalah sah, kecuali yang paling penting, yaitu tautan yang meminta untuk mengunduh aplikasi SafeMoon “resmi” dari Google Play Store.
Alih-alih aplikasi SafeMoon untuk perangkat Android, ia mengunduh muatan yang mencakup perangkat lunak Windows yang agak umum yang dapat digunakan untuk tujuan yang sah dan jahat.
Setelah dieksekusi, penginstal (Safemoon-App-v2.0.6.exe) akan meluncurkan beberapa file pada sistem, termasuk RAT yang disebut Remcos. Meskipun disebut-sebut sebagai alat yang sah, RAT ini juga dijajakan untuk dijual di forum bawah tanah, yang juga membuatnya mendapat peringatan resmi dari otoritas AS tak lama setelah tool itu dirilis. Jika digunakan untuk tujuan jahat, RAT sering dipahami sebagai singkatan dari “Remote Access Trojan”.
Remcos sejak itu telah digunakan dalam sejumlah operasi siber, baik oleh kelompok kejahatan dunia maya dan spionase dunia maya. Memang, hanya beberapa bulan yang lalu peneliti ESET melihat Remcos dalam sebuah aksi yang disebut “Operasi Spalax”, di mana aktor ancaman membidik banyak organisasi di Kolombia.
Seperti biasa dengan RAT, Remcos memberi pelaku backdoor ke komputer korban dan digunakan untuk mengumpulkan data sensitif dari korban. Ini dioperasikan melalui server Command and Control (C&C) yang alamat IP-nya dimasukkan ke dalam file yang diunduh.
Kemampuan Remcos termasuk pencurian kredensial masuk dari berbagai browser web, mencatat penekanan tombol, membajak webcam, menangkap audio dari mikrofon korban, mengunduh dan mengeksekusi malware tambahan di mesin.
Proteksi diri
Beberapa tindakan pencegahan dasar akan membantu agar tetap aman dari penipuan ini:
- Berhati-hatilah terhadap komunikasi yang tiba-tiba, baik itu melalui email, media sosial, SMS, atau saluran lainnya
- Jangan mengeklik tautan dalam pesan semacam itu, terutama jika tautan itu berasal dari sumber yang tidak diverifikasi
- Waspadai ketidakteraturan dalam URL, lebih baik mengetiknya sendiri
- Gunakan kata sandi atau frasa sandi yang kuat dan unik dan, jika tersedia, autentikasi dua faktor (2FA)
Gunakan perangkat lunak keamanan yang komprehensif
Ketika datang untuk berinvestasi dalam cryptocurrency, Anda harus melanjutkan dengan hati-hati, karena pasar penuh dengan penipuan investasi, hadiah palsu, dan penipuan lainnya. Tapi tentunya Anda sudah tahu latihannya sekarang.
