Cyberthreat.id - Penipuan cryptocurrency yang sebelumnya tidak terdeteksi telah memanfaatkan konstelasi lebih dari 1.000 situs web penipuan untuk menjerat pengguna ke dalam skema hadiah palsu setidaknya sejak Januari 2021. Demikian laporan The Hacker News.

"Kampanye besar-besaran ini kemungkinan telah mengakibatkan ribuan orang ditipu di seluruh dunia," kata para peneliti Trend Micro dalam sebuah laporan yang diterbitkan minggu lalu, menghubungkannya dengan aktor ancaman berbahasa Rusia bernama "Impulse Team."

“Penipuan ini bekerja melalui penipuan biaya lanjutan yang melibatkan menipu korban agar percaya bahwa mereka telah memenangkan sejumlah cryptocurrency. Namun, untuk mendapatkan hadiah mereka, para korban perlu membayar sejumlah kecil uang untuk membuka akun di situs web mereka."

Rantai kompromi dimulai dengan pesan langsung yang disebarluaskan melalui Twitter untuk memikat target potensial agar mengunjungi situs umpan. Akun yang bertanggung jawab untuk mengirim pesan telah ditutup.

Pesan tersebut mendesak penerima untuk mendaftar akun di situs web dan menerapkan kode promo yang ditentukan dalam pesan untuk memenangkan hadiah cryptocurrency sebesar 0,78632 bitcoin (sekitar $20.300).

Tapi begitu akun dibuat di platform palsu, pengguna diminta untuk mengaktifkan akun dengan melakukan setoran minimal senilai 0,01 bitcoin (sekitar $258) untuk mengonfirmasi identitas mereka dan menyelesaikan penarikan.

"Meskipun relatif besar, jumlah yang diperlukan untuk mengaktifkan akun tidak seberapa jika dibandingkan dengan apa yang akan didapatkan pengguna sebagai imbalan," catat para peneliti. "Namun, seperti yang diharapkan, penerima tidak pernah mendapatkan imbalan apa pun saat mereka membayar jumlah aktivasi."

Sebuah saluran Telegram publik yang mencatat setiap pembayaran yang dilakukan oleh para korban menunjukkan bahwa transaksi gelap tersebut telah menghasilkan para pelaku sedikit lebih dari $5 juta antara 24 Desember 2022 dan 8 Maret 2023.

Trend Micro mengatakan telah menemukan ratusan domain yang terkait dengan penipuan ini, dengan beberapa di antaranya aktif sejak 2016. Semua situs web palsu milik afiliasi "proyek penipuan crypto" dengan nama kode Impulse yang telah diiklankan di forum kejahatan dunia maya Rusia sejak Februari 2021.

Seperti operasi ransomware-as-a-service (RaaS), usaha ini mengharuskan aktor afiliasi membayar biaya untuk bergabung dengan program dan berbagi persentase pendapatan dengan penulis asli.

Untuk memberikan operasi legitimasi, pelaku ancaman diyakini telah membuat versi yang mirip dari alat anti-penipuan yang dikenal sebagai ScamDoc, yang memberikan skor kepercayaan untuk situs web yang berbeda, dalam upaya yang masuk akal untuk memberikan layanan kripto yang samar sebagai dapat dipercaya.

Trend Micro mengatakan juga menemukan pesan pribadi, video online, dan iklan di jejaring sosial lain seperti TikTok dan Mastodon, yang menunjukkan bahwa afiliasi menggunakan berbagai metode untuk mengiklankan aktivitas penipuan.

"Aktor ancaman merampingkan operasi untuk afiliasinya dengan menyediakan hosting dan infrastruktur sehingga mereka dapat menjalankan situs penipuan ini sendiri," kata para peneliti. "Afiliasi kemudian dapat berkonsentrasi pada aspek operasi lainnya, seperti menjalankan kampanye iklan mereka sendiri."

Temuan ini muncul beberapa minggu setelah Akamai mengungkap kampanye cryptojacking Rumania baru bernama Diicot (sebelumnya Mexals) yang menggunakan modul worm Secure Shell (SSH) berbasis Golang dan penyebar LAN baru untuk propagasi.

Kemudian bulan lalu, Elastic Security Labs merinci penggunaan rootkit sumber terbuka yang disebut r77 untuk menyebarkan penambang cryptocurrency XMRig di beberapa negara Asia.

“Tujuan utama r77 adalah untuk menyembunyikan keberadaan perangkat lunak lain pada sistem dengan mengaitkan API Windows yang penting, menjadikannya alat yang ideal bagi penjahat dunia maya yang ingin melakukan serangan diam-diam,” kata para peneliti.

"Dengan memanfaatkan rootkit r77, pembuat penambang kripto jahat dapat menghindari deteksi dan melanjutkan kampanye mereka tanpa terdeteksi."

Perlu diperhatikan bahwa rootkit r77 juga tergabung dalam SeroXen, varian baru dari alat administrasi jarak jauh Quasar yang dijual hanya dengan $30 untuk lisensi bulanan atau $60 untuk bundel seumur hidup.[]