Gelombang Baru Malware Crypto
Gelombang baru malware crypto sedang melanda dunia aset digital, kali ini dengan pelaku yang lebih cerdas dan fleksibel dibanding sebelumnya. Di garis depan gelombang baru ini terdapat Librarian Ghouls, kelompok ancaman canggih yang berfokus pada Rusia, dan Crocodilus, pencuri lintas platform yang memiliki akar di trojan perbankan Android.
“Kampanye terbaru Librarian Ghouls menggunakan perangkat lunak sah seperti AnyDesk untuk menyembunyikan penambang crypto dan keylogger. Begitu mereka masuk, mereka beroperasi diam-diam hingga tengah malam.” — Kaspersky Threat Intelligence (9 Juni 2025).
Metode Serangan Librarian Ghouls
Kelompok APT ini menyamarkan serangan mereka sebagai dokumen sehari-hari (misalnya, perintah pembayaran) dalam email phishing. Setelah dibuka, malware mereka:
- Menginstal 4t Tray Minimizer untuk menyembunyikan proses berbahaya.
- Menggunakan AnyDesk untuk akses jarak jauh dan XMRig untuk menambang Monero.
- Mencuri kredensial dompet crypto dan kunci registri.
Di tahun 2025, mereka mengimplementasikan aktivasi tengah malam—di mana malware hanya berjalan pada malam hari untuk menghindari deteksi. Serangan mereka bukan sekadar pencurian, melainkan menggabungkan keahlian teknis dengan paksaan psikologis, menyerang di setiap langkah siklus crypto.
Optimasi Serangan
Librarian Ghouls juga mengoptimalkan pemuat mereka untuk menyamar sebagai aplikasi bisnis sah, dengan menyisipkan malware ke dalam dokumen yang tampak tidak berbahaya seperti perintah pembayaran atau faktur. Ketika korban mengeksekusi file tersebut, installer malware secara diam-diam menginstal program seperti 4t Tray Minimizer untuk menutupi jejaknya dan AnyDesk untuk kontrol jarak jauh.
Uniknya, kelompok ini menggunakan pemicu berbasis waktu: malware hanya diaktifkan pada malam hari, menurunkan kemungkinan deteksi oleh tim keamanan selama jam kerja. Dengan strategi semacam ini, mereka dapat mencuri kredensial dompet, menambang Monero menggunakan XMRig, dan mengekstrak data sensitif tanpa terdeteksi.
Munculnya Crocodilus
Awalnya merupakan trojan perbankan Turki, Crocodilus kini menargetkan pengguna crypto global melalui:
- Aplikasi palsu yang menyamar sebagai Coinbase, MetaMask, atau alat penambangan.
- Pengambil seed phrase otomatis yang memindai perangkat untuk data dompet.
- Rekayasa sosial melalui kontak “Dukungan Bank” palsu di ponsel.
“Parser baru Crocodilus mengekstrak seed phrase dengan presisi bedah. Satu klik pada tautan X palsu, dan dompet Anda hilang.” — Tim MTI ThreatFabric (3 Juni 2025).
Dengan cepat, Crocodilus berevolusi dari ancaman regional menjadi global. Tidak lagi terbatas pada Android, kini mereka menargetkan ekstensi browser berbahaya, aplikasi desktop tiruan, dan bahkan bot Telegram untuk memperluas jangkauannya. Fitur paling berbahaya dari malware ini adalah kemampuannya untuk mencuri seed phrase dari data clipboard, tangkapan layar, dan data pengisian otomatis, kadang-kadang bahkan sebelum korban menyadari bahwa mereka telah menjadi target.
Pasar Gelap dan Teknik Penipuan
Pelaku ancaman mulai menawarkan akses ke dompet yang terkompromi untuk dijual di forum darknet, menciptakan pasar gelap yang berkembang untuk aset cryptocurrency hasil curian yang semakin besar dan kompleks. Crocodilus bahkan mengirim spam nomor “dukungan” tak bersalah ke ponsel korban, menipu pengguna untuk memberikan informasi sensitif dengan mengatasnamakan dukungan teknis.
Penggunaan Media Sosial oleh Hacker
Para hacker memanfaatkan X (Twitter) dengan:
- Akun terverifikasi yang dibajak untuk mempromosikan airdrop penipuan.
- Kode QR yang terhubung ke kontrak pintar yang menguras dompet.
- Obrolan dukungan deepfake AI yang meniru agen nyata.
Contoh Nyata: Pada Mei 2025, siaran langsung deepfake “Elon Musk” mendorong penonton untuk memindai kode QR untuk giveaway “TeslaCoin,” yang mengakibatkan kerugian lebih dari $200.000 dalam waktu 30 menit. Salah satu tren paling menakutkan adalah perkembangan obrolan dukungan deepfake waktu nyata. Para hacker menggunakan avatar yang dipengaruhi AI untuk meniru merek atau influencer terkenal di X, memberikan “bantuan” yang autentik dan interaktif, sehingga menarik korban untuk berbagi seed phrase atau kunci pribadi mereka.
Langkah-Langkah Perlindungan
Dari Panduan Quillaudits 2025: Untuk melindungi diri dari ancaman semacam ini, pengguna perlu menerapkan pendekatan OPSEC berlapis. Para ahli merekomendasikan untuk:
- Menggunakan dompet perangkat keras untuk investasi bernilai tinggi.
- Mengaktifkan otentikasi dua faktor.
- Untuk tidak pernah membagikan seed phrase—bahkan kepada staf dukungan yang mengaku.
Pemeriksaan secara rutin terhadap persetujuan dompet, menjaga perangkat lunak tetap terbaru, dan memisahkan operasi crypto ke dalam perangkat sekali pakai juga dapat mengurangi risiko. Seiring penyerang semakin inovatif dan kreatif, pertahanan terbaik adalah tetap teredukasi dan cukup skeptis.
