Eksekutif Crypto Jadi Sasaran Penipuan ClickFix Melalui Pertemuan Zoom Palsu Oleh Hacker
Apakah Anda pernah mendengar tentang ClickFix Scam? Itulah yang saat ini menghantui dunia kripto. Sebuah grup hacker asal Korea Utara secara khusus menargetkan eksekutif perusahaan kripto dan keuangan desentralisasi dengan kampanye pencurian kripto. Cara mereka cukup cerdas, menggunakan akun Telegram yang sudah dikompromikan dan tautan pertemuan Zoom palsu untuk menjerat korban. Dan ketika korban terperangkap, mereka diblokir dari akun mereka sendiri melalui perubahan kata sandi.
Para Peretas Asal Korea Utara Memanfaatkan Video Buatan AI untuk Menjerat Eksekutif Kripto Melalui Penipuan ClickFix
Pada suatu laporan, diketahui bahwa sekelompok peretas asal Korea Utara menargetkan seorang pejabat perusahaan kripto melalui pertemuan Zoom palsu, berbagai jenis malware, dan manuver rekayasa sosial. Baru-baru ini, sebuah firma konsultasi keamanan siber mempublikasikan sebuah laporan yang menjelaskan modus operandi dari peretas UNC1069 yang memanfaatkan penipuan ClickFix untuk menargetkan entitas di industri kripto dan keuangan desentralisasi.
Selanjutnya, laporan tersebut menjelaskan bahwa pelaku jahat asal Korea Utara menggunakan skema rekayasa sosial, di mana korban dihubungi melalui akun Telegram yang telah dikompromikan. Kemudian, korban dikirimi tautan pertemuan Zoom palsu yang berisi vektor infeksi ClickFix. Dalam pertemuan Zoom tersebut, korban ditampilkan video deepfake yang dihasilkan oleh AI untuk membuat pertemuan Zoom tampak asli.
Sebagai bagian dari penipuan ClickFix, peretas UNC1069 menerapkan tujuh “keluarga malware unik”, yang oleh firma konsultasi tersebut disebut SILENCELIFT, DEEPBREATH, dan CHROMEPUSH. Ini adalah seperangkat alat yang dirancang khusus untuk mengakses data korban. Peretas juga menggunakan beberapa file yang terinfeksi, yang disebut WAVESHAPER dan HYPERCALL, untuk mendapatkan akses pintu belakang ke sistem korban. Detail pengguna seperti kredensial, data browser, dan token sesi dicuri oleh pelaku jahat untuk penipuan kripto dan jenis penipuan keuangan lainnya.
Di sisi lain, firma konsultasi keamanan siber juga menyoroti bahwa ancaman UNC1069 telah berkembang dengan menyuntikkan sistem yang ditargetkan dengan keluarga malware baru, bersama dengan SUGARLOADER, berpindah dari serangan yang didukung AI. Peretas UNC1069 dikenal menggunakan Gemini untuk “mengembangkan alat, melakukan penelitian operasional, dan membantu” dalam penelitian tentang korban.
Namun demikian, sama seperti insiden yang dilaporkan terakhir kali, pada Mei 2025, Ryan Kim, Mitra Pendiri di Hashed, sebuah perusahaan blockchain, berbagi bahwa dia baru saja menjadi target sekelompok peretas melalui Telegram. Pertemuan diatur oleh Kim melalui Calendly. Kemudian, tautan pertemuan Zoom palsu dikirim kepadanya, yang muncul sebagai pembaruan SDK Zoom, yang kemudian ternyata adalah malware. Ketika Kim bergabung dalam pertemuan, dia melihat berbagai tokoh dari industri kripto.
Bagian berikutnya menekankan bahwa audio tidak berfungsi di Zoom, dan peserta lain tampaknya adalah deepfake. Eksekutif Hashed tersebut kembali diminta untuk menginstal pembaruan SDK, yang dia lakukan, tanpa sadar menginfeksi sistemnya dalam prosesnya. Menggunakan sesi Telegram Desktop, penyerang mampu membatasi akses ke aplikasi pesan instan dari perangkat lain, sambil juga mengubah password dan email pemulihan miliknya. Pelaku jahat bahkan mampu melewati 2FA di Telegram.
