Eksekutif Kripto Jadi Sasaran ClickFix Scam Melalui Pertemuan Zoom Palsu oleh Hacker
Ada yang menarik dan menghawatirkan dalam dunia kripto dan teknologi keuangan terdesentralisasi. Sebuah geng peretas asal Korea Utara melakukan serangan khusus terhadap eksekutif perusahaan di sektor ini, dalam usaha mereka untuk melakukan pencurian kripto. Menggunakan taktik yang licik dan canggih, para peretas ini memanfaatkan akun Telegram yang sudah disusupi dan link Zoom palsu untuk menjerat korban mereka.
Selanjutnya, setelah berhasil mendapatkan akses ke akun dan kredensial korban, mereka dengan cepat mengubah kata sandi, menghalangi akses pengguna. Bahkan, ketika pengguna bergabung dalam pertemuan Zoom palsu, mereka ditampilkan video yang dibuat dengan kecerdasan buatan untuk membangun kepercayaan. Seperti halnya ClickFix scam, metode ini menunjukkan betapa pentingnya kehati-hatian dan kesadaran terhadap ancaman dunia maya.
Peretas Korea Utara Menggunakan Video Buatan AI untuk Menjerat Eksekutif Kripto Melalui Skema Penipuan ClickFix
Laporan terbaru menunjukkan bahwa sekelompok peretas Korea Utara telah menargetkan seorang pejabat perusahaan kripto melalui pertemuan Zoom palsu, berbagai jenis malware, dan manuver teknik sosial. Pada hari Selasa, sebuah firma konsultasi keamanan siber terkemuka menerbitkan sebuah laporan yang menjelaskan modus operandi dari peretas UNC1069 yang memanfaatkan skema penipuan ClickFix untuk menargetkan entitas di industri kripto dan keuangan terdesentralisasi.
Bagian berikutnya menjelaskan bahwa pelaku cyber jahat asal Korea Utara tersebut menggunakan skema rekayasa sosial, di mana korban dihubungi melalui akun Telegram yang sudah dikompromi. Kemudian, link pertemuan Zoom palsu dikirimkan kepada pengguna, yang berisi vektor infeksi ClickFix. Dalam pertemuan Zoom tersebut, para korban ditunjukkan video deepfake yang dihasilkan oleh AI untuk membuat pertemuan Zoom tampak asli.
Sebagai bagian dari skema penipuan ClickFix, peretas UNC1069 menerapkan tujuh “keluarga malware unik”, yang disebut SILENCELIFT, DEEPBREATH, dan CHROMEPUSH, yang merupakan serangkaian alat yang dirancang khusus untuk mengakses data korban. Para peretas juga menggunakan beberapa file yang terinfeksi, yang disebut WAVESHAPER dan HYPERCALL, untuk mendapatkan akses belakang ke sistem korban. Detail pengguna seperti kredensial, data browser, dan token sesi dicuri oleh pelaku jahat untuk penipuan kripto dan jenis penipuan keuangan lainnya.
Di sisi lain, firma konsultasi keamanan siber juga menekankan bahwa aktor ancaman UNC1069 telah berkembang dengan menyuntikkan sistem yang ditargetkan dengan keluarga malware baru, bersama dengan SUGARLOADER, bergerak dari serangan yang diaktifkan oleh AI. Peretas UNC1069 dikenal menggunakan Gemini untuk “mengembangkan peralatan, melakukan penelitian operasional, dan membantu” saat mencari informasi tentang korban, menurut laporan dari sebuah grup intelijen ancaman cyber terkemuka.
Namun demikian, sama seperti insiden yang baru saja dilaporkan, pada Mei 2025, Ryan Kim, seorang Partner Pendiri di Hashed, sebuah perusahaan blockchain, berbagi bahwa dia baru-baru ini menjadi target sekelompok peretas melalui Telegram. Kim membuat pertemuan melalui Calendly. Kemudian, link pertemuan Zoom palsu dikirim padanya, yang kemudian ternyata menjadi malware. Ketika Kim bergabung dalam pertemuan, dia melihat berbagai tokoh dari industri kripto.
Di penghujung artikel, dia menekankan bahwa audio tidak berfungsi di Zoom, dan peserta lain tampaknya adalah deepfake. Eksekutif Hashed tersebut lagi-lagi diminta untuk menginstal pembaruan SDK, yang dia lakukan, tanpa sadar menginfeksi sistemnya dalam prosesnya. Menggunakan sesi Telegram Desktop, penyerang berhasil membatasi akses ke aplikasi pesan instan dari perangkat lain, sekaligus mengubah kata sandinya dan email pemulihan. Pelaku jahat bahkan mampu melewati 2FA di Telegram.
