Kaspersky Mengungkap Kerangka Malware OkoBot yang Menargetkan Investor Kripto

Kaspersky menemukan kerangka malware baru yang menargetkan investor mata uang kripto dalam laporan pada hari Rabu. Dinamai OkoBot, malware ini memulai rantai infeksi melalui taktik rekayasa sosial seperti ClickFix, yang menipu pengguna agar menjalankan perintah berbahaya, atau aplikasi GitHub yang telah ditunggangi trojan yang menyisipkan backdoor ke perangkat yang terinfeksi. Kaspersky mengidentifikasi beberapa serangan yang melibatkan keluarga malware ini sejak Januari 2026. Malware dapat mengumpulkan berkas dompet kripto, data peramban, dan kredensial pengguna, menyuntikkan ekstensi berbahaya, serta menangkap jendela aplikasi dompet untuk mencuri aset. Kerangka malware ini berevolusi dari TookPS, sebuah kampanye malware yang pertama kali diidentifikasi pada 2025 dan mendistribusikan pengunduh trojan melalui situs web perangkat lunak palsu.

Kerangka OkoBot Beroperasi Melalui Arsitektur Terowongan SSH

OkoBot berbeda dari kampanye-kampanye sebelumnya dengan mengorkestrasi semua 20 muatan berbahaya melalui sebuah terowongan SSH, yang memungkinkan pengiriman jarak jauh data dari komputer yang terinfeksi ke mesin jarak jauh yang dikendalikan oleh penyerang. Kaspersky menambahkan bahwa kerangka kerja ini membuka peluang untuk serangan peniru.

Original OkoBot infection chain. Source: Kaspersky

Kampanye LinkedIn Palsu Menargetkan Pengembang Web3 Lewat Repositori GitHub Berbahaya

Kampanye malware terpisah berupaya menyusup ke perangkat para pengembang Web3 melalui peluang rekrutmen LinkedIn palsu, menurut SlowMist. Penyerang menghubungi pengembang blockchain melalui LinkedIn, berpura-pura sebagai perekrut Web3, kata perusahaan keamanan siber blockchain itu dalam laporan hari Sabtu. Lalu, mereka mengirimkan repositori GitHub palsu ke korban, dengan mengklaim bahwa repositori tersebut berisi produk minimum yang perlu dicoba sebelum wawancara.

Alurnya sangat mirip dengan wawancara teknis yang sah, di mana pengembang menarik kode, memasang dependensi, dan menjalankan sebuah proyek, sehingga serangan menjadi sulit disadari, menurut SlowMist. Malware menargetkan pengiriman remote access trojan yang lengkap yang menginfeksi perangkat, sehingga memungkinkan penyerang mencuri kunci proyek, kredensial cloud, atau data ekstensi dompet dari para pengembang ini.

SlowMist menulis bahwa serangan ini bukan kasus terisolasi, menambahkan bahwa insiden-insiden terbaru menunjukkan penyerang makin sering memanfaatkan skenario seperti rekrutmen, code review, dan kolaborasi proyek untuk menipu pengembang agar secara aktif menjalankan repositori berbahaya. Laporan tersebut muncul sehari setelah SlowMist memperingatkan kampanye malware terpisah yang menargetkan pengguna macOS, dengan tujuan mencuri kredensial mereka dan membajak sesi Telegram mereka untuk pada akhirnya menipu investor agar memasukkan frasa pemulihan dompet mereka melalui situs web palsu.

FAQ

Apa itu malware OkoBot dan kapan ditemukan?

OkoBot adalah kerangka malware yang menargetkan investor mata uang kripto yang ditemukan Kaspersky dalam laporan pada hari Rabu. Kaspersky mengidentifikasi beberapa serangan yang melibatkan keluarga malware ini sejak Januari 2026. Malware memulai infeksi melalui taktik rekayasa sosial seperti ClickFix atau aplikasi GitHub yang ditunggangi trojan, serta dapat mengumpulkan berkas dompet kripto, data peramban, kredensial pengguna, menyuntikkan ekstensi berbahaya, dan menangkap jendela aplikasi dompet.

Bagaimana kampanye rekrutmen LinkedIn palsu menargetkan pengembang Web3?

Penyerang menghubungi pengembang blockchain melalui LinkedIn, dengan berpura-pura sebagai perekrut Web3, menurut laporan hari Sabtu SlowMist. Mereka mengirimkan repositori GitHub palsu ke korban, dengan klaim bahwa repositori tersebut berisi produk minimum yang perlu dicoba sebelum wawancara. Alurnya menyerupai wawancara teknis yang sah, di mana pengembang menarik kode, memasang dependensi, dan menjalankan proyek, sehingga serangan sulit disadari. Malware mengirimkan remote access trojan yang mencuri kunci proyek, kredensial cloud, atau data ekstensi dompet.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar