Pengguna Cardano Ditargetkan oleh Penipuan Phishing yang Menyebarkan Malware Dompet

Penipuan phishing ini menargetkan pengguna Cardano dengan mengirimkan email palsu yang tampak sah, yang berisi malware yang dirancang untuk mencuri kunci pribadi dan dana dari dompet pengguna. Pelaku kejahatan siber menggunakan berbagai teknik untuk menipu pengguna agar mengunduh dan menginstal perangkat lunak berbahaya tersebut, termasuk mengirim tautan berbahaya, lampiran berbahaya, dan meniru komunikasi resmi dari platform terpercaya. Penting bagi pengguna untuk selalu berhati-hati dan memverifikasi keaslian setiap komunikasi yang mereka terima terkait keamanan dompet mereka.

Pemegang Cardano menghadapi ancaman keamanan yang meningkat karena cybercriminal meluncurkan kampanye penipuan phishing yang canggih dengan menyamar sebagai dompet Eternl Desktop. Skema ini menggabungkan email yang tampak profesional, insentif cryptocurrency palsu, dan malware tersembunyi untuk mengompromikan sistem pengguna. Peneliti keamanan mengungkapkan bahwa korban yang mengunduh dompet palsu menerima installer berbahaya yang berisi trojan akses jarak jauh, memberikan penyerang kendali penuh atas sistem tanpa izin.

Cara Kerja Kampanye Penipuan Phishing

Serangan dimulai dengan email phishing yang meyakinkan yang menyamar sebagai komunikasi resmi Eternl Desktop. Penyerang mengklaim memperkenalkan fitur baru seperti dukungan staking Cardano yang ditingkatkan dan integrasi tata kelola. Pesan palsu ini menawarkan insentif menarik termasuk hadiah token NIGHT dan ATMA, menciptakan rasa urgensi dan mendorong pengguna untuk segera mengunduh dompet yang “diperbarui”.

Email tersebut mengarahkan pengguna untuk mengunduh(dot)eternldesktop(dot)network, domain baru yang meniru situs resmi Eternl. Menurut peneliti ancaman Anurag, penyerang dengan teliti menyalin bahasa dan elemen desain dari pengumuman Eternl yang asli, menambahkan fitur fiksi seperti manajemen kunci lokal dan kompatibilitas dompet perangkat keras. Penipuan phishing ini menunjukkan eksekusi yang profesional—email tidak mengandung kesalahan ejaan dan menggunakan terminologi formal, membuat penipuan ini tampak kredibel bagi pengguna yang tidak curiga.

Setiap pesan menyertakan tautan unduhan ke file installer MSI yang berisi trojan. File ini melewati mekanisme verifikasi keamanan standar dan tidak memiliki tanda tangan digital yang valid yang menunjukkan keaslian. Ketika pengguna menjalankan installer, mereka tanpa sadar mengaktifkan payload berbahaya yang tertanam di dalamnya.

Installer Berbahaya Mengirim Trojan Akses Jarak Jauh

Installer yang berbahaya, bernama Eternl.msi (hash file: 8fa4844e40669c1cb417d7cf923bf3e0), mengemas alat LogMeIn Resolve yang berbahaya. Saat dijalankan, installer ini menginstal file eksekusi bernama unattended updater.exe, yang sebenarnya adalah komponen GoToResolveUnattendedUpdater.exe.

File ini membangun persistensi di mesin korban dengan membuat direktori di dalam Program Files dan menulis beberapa file konfigurasi, termasuk unattended.json dan pc.json. File unattended.json sangat berbahaya—secara diam-diam mengaktifkan kemampuan akses jarak jauh tanpa sepengetahuan atau persetujuan pengguna. Setelah diaktifkan, sistem yang terinfeksi menjadi sepenuhnya dapat dikendalikan oleh penyerang.

Analisis lalu lintas jaringan mengonfirmasi bahwa malware ini berkomunikasi dengan infrastruktur command-and-control GoToResolve yang dikenal, khususnya perangkat-iot.console.gotoresolve.com dan dumpster.console.gotoresolve.com. Malware ini mengirimkan informasi sistem dalam format JSON dan membangun koneksi yang persisten, memungkinkan aktor ancaman mengeluarkan perintah dari jarak jauh. Korban tidak menyadari sistem mereka telah dikompromikan sampai penyerang memanfaatkan akses tersebut.

Perbandingan dengan Skema Phishing Meta Sebelumnya

Serangan dompet Cardano ini mengikuti pola yang sama dengan penipuan phishing sebelumnya yang menargetkan pengguna bisnis Meta. Dalam kampanye tersebut, korban menerima email yang mengklaim akun iklan mereka melanggar regulasi UE. Pesan tersebut menggunakan branding Meta dan bahasa resmi untuk membangun kredibilitas palsu.

Mengklik tautan mengarahkan pengguna ke halaman Meta Business Manager palsu yang menampilkan peringatan mendesak tentang penangguhan akun. Pengguna diminta memasukkan kredensial login untuk “mengembalikan” akses. Obrolan dukungan palsu kemudian membimbing korban melalui proses yang tampak seperti pemulihan akun, tetapi sebenarnya mengumpulkan informasi otentikasi mereka.

Struktur paralel—urgensi, impersonasi, halaman palsu, dan pengumpulan kredensial—mengungkapkan bagaimana penyerang menggunakan taktik rekayasa sosial yang efektif di berbagai target. Baik menargetkan pengguna cryptocurrency maupun manajer bisnis, metodologi phishing tetap konsisten: membangun legitimasi palsu, menciptakan tekanan, dan memanfaatkan kepercayaan pengguna.

Melindungi Diri dari Serangan Impersonasi Dompet

Para ahli keamanan dan pengembang dompet mendesak pengguna untuk mengadopsi praktik perlindungan terhadap penipuan phishing. Selalu unduh perangkat lunak dompet hanya dari situs resmi proyek atau toko aplikasi yang terverifikasi. Domain yang baru didaftarkan sangat berisiko—verifikasi usia domain dan detail sertifikat SSL sebelum mempercayai sebuah situs.

Waspadai email yang tidak diminta yang mempromosikan pembaruan dompet atau menawarkan token rewards yang tidak terduga. Proyek dompet yang sah jarang mendistribusikan perangkat lunak melalui kampanye phishing, dan pembaruan resmi biasanya muncul melalui saluran yang terpercaya. Periksa alamat pengirim email dengan cermat, karena alamat yang dipalsukan kadang mengandung substitusi karakter yang halus.

Aktifkan autentikasi dua faktor pada akun pertukaran cryptocurrency dan email penting yang terkait dengan dompet. Lapisan tambahan ini mencegah akses tidak sah bahkan jika kredensial berhasil diretas. Jaga perangkat lunak antivirus dan anti-malware tetap terbaru untuk mendeteksi trojan yang dikenal seperti varian LogMeIn Resolve.

Terakhir, jika Anda telah mengunduh aplikasi dompet yang mencurigakan, segera putuskan koneksi komputer yang terinfeksi dari jaringan dan jalankan pemindaian malware lengkap. Laporkan email phishing yang dicurigai ke tim keamanan proyek yang sah. Dengan tetap waspada terhadap teknik phishing dan memverifikasi keaslian di setiap langkah, pengguna Cardano dapat secara signifikan mengurangi risiko terhadap ancaman yang terus berkembang ini.