FinTechnesia.com | Lazarus, aktor Advanced Persistent Threats (APT) canggih dan tangguh, telah membentuk bisnis mata uang kripto (cryptocurrency). Dengan melakukan trojanisasi baru kepada aplikasi keuangan terdesentralisasi (DeFi) untuk meraup keuntungan.
Lazarus menyalahgunakan aplikasi sah yang digunakan untuk mengelola dompet mata uang kripto. Dengan mendistribusikan malware yang memberikan kendali atas sistem yang dimiliki korban.
Grup Lazarus adalah salah satu aktor APT paling aktif di dunia yang setidaknya sudah beroperasi sejak 2009. Tidak seperti kebanyakan grup APT yang disponsori oleh negara, Lazarus dan aktor ancaman lain yang terkait dengan APT ini telah menjadikan keuntungan finansial sebagai salah satu motif utama mereka.
Seiring dengan pertumbuhan pasar mata uang kripto bersama dengan non-fungible token (NFT) dan pasar keuangan terdesentralisasi (DeFi), Lazarus terus menemukan cara baru untuk menargetkan pengguna kripto.
Pada bulan Desember 2021, peneliti Kaspersky menemukan kampanye malware baru. Grup Lazarus mengirimkan aplikasi DeFi yang ditrojanisasi kepada bisnis mata uang kripto.
Aplikasi ini berisi program sah yang disebut DeFi Wallet, yang menyimpan dan mengelola dompet mata uang kripto. Saat dijalankan, aplikasi menjatuhkan file berbahaya sekaligus penginstal untuk aplikasi yang sah. Hngga akhirnya meluncurkan malware dengan jalur penginstal Trojan. Malware tersebut kemudian menimpa aplikasi yang sah dengan aplikasi yang di-trojan.
Malware ini adalah backdoor berfitur lengkap dengan kemampuan mengendalikan sistem korban dari jarak jauh. Setelah mengendalikan sistem, penyerang dapat menghapus file, mengumpulkan informasi, menghubungkan ke alamat IP tertentu dan berkomunikasi dengan server C2.
Berdasarkan sejarah serangan Lazarus, peneliti menganggap motivasi di balik kampanye ini tidak lain adalah keuntungan finansial. Setelah melihat fungsionalitas backdoor ini, peneliti Kaspersky banyak menemukan tumpang tindih dengan alat lain di Lazarus. Yaitu, cluster malware CookieTime dan ThreatNeedle. Skema infeksi multistage juga banyak digunakan dalam infrastruktur Lazarus.
Mata uang kripto dan industri berbasis blockchain terus berkembang dan menarik tingkat investasilebih tinggi. Oleh karena itu, mereka tidak hanya menarik bagi para scammers dan phisher. Tetapi juga ‘pemburu besar. Termasuk kelompok APT yang termotivasi secara finansial.
“”Lazarus menyalahgunakan aplikasi DeFi yang sah dengan mengimitasinya dan menjatuhkan malware. Ini merupakan taktik umum yang digunakan dalam perburuan kripto. Itulah sebabnya kami mendesak perusahaan untuk tetap waspada terhadap tautan dan lampiran email yang tidak dikenal, karena berpotensi palsu, meskipun tampak familier dan aman,” terang Seongsu Park, peneliti keamanan senior di Tim Riset dan Analisis Global (GReAT) Kaspersky, dalam rilis ke FinTechnesia, belum lama ini. (ari)