Credit image: Freepix
Sebuah kelompok penjahat siber belum lama ini melakukan eksploitasi fitur remote control Zoom curi uang kripto sehingga menciptakan keriuhan di dunia maya.
Kelompok peretas ini dijuluki Elusive Comet dikenal karena mereka menargetkan pengguna mata uang kripto dalam serangan social engineering.
Upaya mereka dengan mengeksploitasi fitur kendali jarak jauh Zoom bertujuan untuk mengelabui pengguna agar memberi mereka akses ke mesin mereka.
Menurut peneliti yang menemukan operasi social engineering ini, para pelaku meniru teknik yang digunakan oleh kelompok peretas Lazarus dalam pencurian kripto Bybit senilai $1,5 miliar.
Elusive Comet meniru metodologi tersebut pada bulan Februari lalu, di mana mereka memanipulasi alur kerja yang sah daripada mengeksploitasi kerentanan kode.
|
Baca juga: Melindungi Akun Zoom dengan 2FA |
Trik Interview Berbasis Zoom
Peneliti mengetahui operasi baru ini setelah pelaku mencoba melakukan serangan social engineering terhadap CEO-nya melalui pesan langsung X.
Serangan dimulai dengan undangan untuk wawancara Bloomberg Crypto melalui Zoom, yang dikirim ke target bernilai tinggi melalui akun palsu di X, atau melalui email (bloombergconferences[@]gmail.com).
Akun palsu tersebut menyamar sebagai jurnalis yang berfokus pada kripto atau kantor berita Bloomberg dan menghubungi target melalui pesan langsung di platform media sosial.
Undangan dikirim melalui tautan Calendly untuk menjadwalkan rapat Zoom. Karena undangan/tautan Calendly dan Zoom asli, keduanya berfungsi seperti yang diharapkan dan mengurangi kecurigaan target.
Selama panggilan Zoom, pelaku memulai sesi berbagi layar dan mengirim permintaan kendali jarak jauh ke target.
Trik yang digunakan dalam tahap ini adalah pelaku mengganti nama tampilan Zoom mereka menjadi “Zoom,” sehingga perintah yang dilihat korban berbunyi
“Zoom meminta kendali jarak jauh layar Anda”
Sehingga perintah tersebut tampak seperti permintaan yang sah dari aplikasi Zoom dan membuat orang mudah percaya.
Dampak Eksploitasi
Namun, menyetujui permintaan tersebut memberi pelaku kendali masukan jarak jauh penuh atas sistem korban, yang memungkinkan mereka:
- Mencuri data sensitif.
- Memasang malware.
- Mengakses berkas.
- Memulai transaksi kripto.
Pelaku dapat bertindak cepat untuk membangun akses persisten dengan menanamkan backdoor tersembunyi untuk eksploitasi dan pemutusan sambungan di kemudian hari, sehingga korban tidak memiliki banyak peluang untuk menyadari kompromi tersebut.
Yang membuat serangan ini sangat berbahaya adalah kesamaan dialog izin dengan pemberitahuan Zoom yang tidak berbahaya lainnya.
Pengguna yang terbiasa mengklik “Setujui” pada perintah Zoom dapat memberikan kendali penuh atas komputer mereka tanpa menyadari implikasinya.
Perusahaan tersebut merekomendasikan untuk menghapus Zoom sepenuhnya dari semua sistem untuk lingkungan dan perusahaan yang sangat penting bagi keamanan yang menangani aset digital yang berharga.
Bagi perusahaan yang menangani data yang sangat sensitif atau transaksi mata uang kripto, pengurangan risiko akibat penghapusan klien Zoom sepenuhnya sering kali lebih besar daripada ketidaknyamanan kecil akibat menggunakan alternatif berbasis browser.
|
Baca juga: Pentingkah Kata Sandi dalam Zoom? Begini Menurut ESET |
Strategi Mitigasi Pengguna Mata Uang Kripto
Mengingat taktik yang digunakan dalam kampanye Elusive Comet, para profesional mata uang kripto harus mengambil beberapa langkah untuk mengurangi risiko menjadi korban serangan serupa.
Nonaktifkan fitur kendali jarak jauh Zoom secara default:
Pastikan fitur kendali jarak jauh di Zoom dinonaktifkan kecuali benar-benar diperlukan. Ini membatasi permukaan serangan yang tersedia bagi penjahat dunia maya yang mencoba membajak sesi jarak jauh.
Berhati-hatilah dengan undangan yang tidak diminta:
Selalu verifikasi identitas orang yang meminta rapat dan berhati-hatilah terhadap undangan yang tidak diminta, terutama yang berasal dari sumber yang tidak dikenal.
Terapkan Langkah Autentikasi yang Kuat:
Autentikasi multifaktor (MFA) harus diaktifkan untuk semua akun yang terkait dengan mata uang kripto, terutama yang melibatkan dompet dan platform bursa. Ini menambahkan lapisan perlindungan tambahan jika terjadi pencurian kredensial.
Endpoint protection dan pembaruan perangkat lunak:
Gunakan perangkat lunak perlindungan titik akhir yang komprehensif untuk mendeteksi dan memblokir aktivitas berbahaya. Selain itu, pastikan semua sistem, terutama Zoom, selalu diperbarui untuk menghindari eksploitasi kerentanan yang diketahui.
Mendidik dan melatih karyawan dan mitra:
Lakukan pelatihan kewaspadaan keamanan siber secara berkala bagi karyawan, mitra, dan pemangku kepentingan untuk memastikan bahwa setiap orang yang terlibat memahami risiko rekayasa sosial dan mengetahui cara mengenali upaya phising.
Serangan Elusive Comet menyoroti meningkatnya kekhawatiran dalam sektor mata uang kripto karena para pelaku kejahatan siber semakin memanfaatkan platform komunikasi tepercaya untuk melakukan serangan canggih.
Meskipun taktik yang digunakan mirip dengan operasi Lazarus Group Korea Utara, atribusi resminya masih belum dikonfirmasi, dan peringatan ini berfungsi sebagai pengingat akan kompleksitas seputar atribusi kejahatan siber.
Bagi para profesional mata uang kripto, serangan ini merupakan:
- Pelajaran berharga tentang pentingnya kewaspadaan.
- Protokol keamanan yang tepat.
- Strategi pertahanan proaktif untuk memerangi lanskap ancaman yang terus berkembang.
Karena pelaku ancaman terus berinovasi, hanya mereka yang paling siap yang akan mampu bertahan secara efektif terhadap ancaman yang muncul ini.
Sumber berita:
