Bagong Alon ng Malware sa Cryptocurrency
Isang bagong alon ng malware na targeted sa cryptocurrency ang sumasalakay sa mundo ng mga digital na ari-arian, at sa pagkakataong ito, mas matalino at mas mahusay ang mga aktor kaysa dati. Sa unahan ng bagong alon ay ang Librarian Ghouls, isang advanced persistent threat (APT) group na nakatutok sa Russia, at Crocodilus, isang cross-platform stealer na may mga ugat sa mga banking trojan ng Android.
“Ang pinakabagong kampanya ng Librarian Ghouls ay gumagamit ng mga lehitimong software tulad ng AnyDesk upang itago ang mga cryptocurrency miners at keyloggers. Kapag sila ay nakapasok, tahimik silang kumikilos — hanggang hatingabi.” — Kaspersky Threat Intelligence (Hunyo 9, 2025)
Mechanism ng Librarian Ghouls
Ang APT group na ito ay nagpapanggap na mga atake sa anyo ng mga pangkaraniwang dokumento (halimbawa, mga order ng pagbabayad) sa mga phishing email. Kapag ito ay nabuksan, ang kanilang malware ay:
- Nagtatalaga ng 4t Tray Minimizer upang itago ang mga nakakapinsalang proseso.
- Nag-implement ng AnyDesk para sa remote access at XMRig upang magmina ng Monero.
- Nagnanakaw ng mga kredensyal ng cryptocurrency wallet at mga key ng rehistro.
Bago sa 2025: Pag-activate sa hatinggabi — ang malware ay tumatakbo lamang sa gabi upang maiwasan ang pagtuklas. Ang kanilang atake ay hindi simpleng resulta ng puwersa sa pagnanakaw; sa halip, pinagsasama nila ang teknikal na kadalubhasan at sikolohikal na pamimilit, umaatake sa bawat hakbang ng crypto cycle.
Ang Librarian Ghouls ay nag-optimize din ng kanilang loader upang magmukhang mga lehitimong aplikasyon ng negosyo, kadalasang nagtatanim ng kanilang malware sa mga tila walang malasakit na dokumento tulad ng mga order ng pagbabayad o invoice. Kapag isinagawa ng biktima ang file, ang mga installer ng malware ay tahimik na nag-iinstall ng mga programa tulad ng 4t Tray Minimizer upang itago ang kanilang mga yapak at AnyDesk para sa remote control.
Pagtaas ng Crocodilus
Orihinal na isang Turkish banking trojan, ang Crocodilus ay ngayon ay tumutok sa mga pandaigdigang crypto users sa pamamagitan ng:
- Mga pekeng app na nagpapanggap bilang Coinbase, MetaMask, o mga mining tools.
- Mga automated seed-phrase harvesters na nag-scan ng mga aparato para sa data ng wallet.
- Social engineering sa pamamagitan ng mga pekeng “Bank Support” contacts sa iyong telepono.
“Ang bagong parser ng Crocodilus ay kumukuha ng mga seed phrases na may surgical precision. Isang click lamang sa pekeng X link, at nawala na ang iyong wallet.” — ThreatFabric MTI Team (Hunyo 3, 2025)
Nakakapinsalang Katangian at Estratehiya
Ang pinakanakakapinsalang tampok ng malware ay ang kakayahan nitong magnakaw ng mga seed phrases mula sa clipboard data, screenshots, at autofill data, minsan kahit bago pa maging mulat ang biktima sa pagiging target. Sinimulan ng mga threat actor na ibenta ang access sa mga compromised wallets sa mga darknet forums, na nagtatayo ng isang umuunlad na black market para sa ninakaw na cryptocurrency assets na lumalaki sa laki at pagiging kumplikado.
Minsan, ang Crocodilus ay nag-spam pa ng mga inosenteng “support” numbers sa mga telepono ng mga biktima, nililinlang ang mga gumagamit na ibigay ang sensitibong impormasyon sa anyo ng teknikal na suporta.
Ang mga hacker ay umaabuso sa X (Twitter) gamit ang:
- Mga hijacked na verified account na nagtutulak ng mga fraudulent airdrops.
- QR codes na nag-uugnay sa mga smart contracts na nagdad drain ng wallet.
- AI deepfake support chats na ginagaya ang mga tunay na ahente.
Tunay na Halimbawa: Noong Mayo 2025, isang deepfake “Elon Musk” livestream ang humimok sa mga manonood na i-scan ang isang QR code para sa isang “TeslaCoin” giveaway. Nalugi ang mga biktima ng higit sa $200,000 sa loob ng 30 minuto.
Proteksyon Laban sa mga Banta
Mula sa Gabay ng Quillaudits’ 2025: Para sa proteksyon laban sa mga ganitong banta, ang mga gumagamit ay kinakailangang gumamit ng multi-layered OPSEC approach. Inirerekomenda ng mga eksperto ang:
- Paggamit ng hardware wallets para sa mga mataas na halaga na pamumuhunan.
- Pagpapagana ng two-factor authentication.
- Kailanman huwag ibahagi ang mga seed phrases — kahit na sa mga pinaghihinalaang tauhan ng suporta o lehitimong social accounts.
Ang regular na pagsusuri ng wallet approval, pagpapanatiling napapanahon ang software, at paghahati-hatiin ang mga cryptocurrency operations sa mga single-use na device ay maaari ring magpababa ng panganib. Habang ang mga umaatake ay nagiging lalong mapanlikha at mapamaraan, ang pinakamahusay na depensa ay ang manatiling maalam at mapaghinalaan.
