Komunitas Cardano Diserang: Kampanye Phishing Terbaru Menargetkan Pengguna Dompet

Pengguna Cardano menghadapi krisis keamanan yang meningkat saat penjahat siber meluncurkan operasi phishing canggih yang menyamar sebagai tim dompet Eternl Desktop. Kampanye ini memanfaatkan email palsu yang mempromosikan hadiah crypto palsu untuk menyebarkan malware yang mampu memberikan kontrol penuh atas sistem kepada penyerang. Ini merupakan ancaman serius bagi siapa saja yang memegang atau mempertaruhkan aset Cardano, dengan serangan yang menggabungkan taktik rekayasa sosial dengan mekanisme pengiriman malware tingkat lanjut.

Bagaimana Serangan Phishing Terjadi

Serangan dimulai dengan email penipuan yang menyamar sebagai komunikasi resmi dari tim pengembang Eternl. Pesan palsu ini menggunakan bahasa profesional, format yang rapi, dan fitur tata kelola yang terdengar sah untuk membangun kredibilitas. Penerima dibujuk dengan janji hadiah token NIGHT dan ATMA eksklusif, menciptakan rasa urgensi buatan untuk mengklik tautan yang tersemat.

Email phishing mengarahkan pengguna yang tidak curiga ke domain baru terdaftar: download[dot]eternldesktop[dot]network. Peneliti ancaman Anurag mengidentifikasi bahwa penyerang menyalin pengumuman Eternl Desktop asli hampir sempurna, menambahkan fitur palsu seperti manajemen kunci lokal dan kompatibilitas dompet perangkat keras. Email tersebut tidak mengandung kesalahan ejaan dan meniru nada komunikasi profesional dari pesan asli—sebuah strategi sengaja untuk melewati keraguan awal pengguna.

Pengiriman Malware: Trojan di Dalam Installer Palsu

Setelah pengguna mengunduh apa yang mereka anggap sebagai dompet Eternl yang sah, mereka tanpa sadar menjalankan file installer MSI yang dipersenjatai bernama Eternl.msi (hash file: 8fa4844e40669c1cb417d7cf923bf3e0). Installer ini berisi alat LogMeIn Resolve yang dibundel, utilitas akses jarak jauh yang sah yang digunakan kembali untuk tujuan jahat.

Saat dijalankan, installer ini mengeksekusi file bernama unattended_updater.exe (sebelumnya bernama GoToResolveUnattendedUpdater.exe). Komponen ini membangun hierarki folder dalam Program Files dan menulis beberapa file konfigurasi, termasuk unattended.json dan pc.json. Yang penting, file konfigurasi unattended.json mengaktifkan fungsi akses jarak jauh tanpa memerlukan persetujuan atau pengetahuan pengguna.

Analisis lalu lintas jaringan mengungkapkan malware ini terhubung ke infrastruktur GoTo Resolve yang dikenal, khususnya ke perangkat-iot.console.gotoresolve.com dan dumpster.console.gotoresolve.com. Eksekutabel ini mengirim data sistem dalam format JSON dan membangun koneksi jarak jauh yang persisten, secara efektif memberikan penyerang pintu belakang ke komputer korban.

Akses Jarak Jauh Artinya Pengambilalihan Sistem Penuh

Setelah alat LogMeIn Resolve aktif, aktor ancaman mendapatkan kemampuan eksekusi perintah tanpa batas. Mereka dapat menjalankan perintah sembarangan, mengakses file sensitif, memanipulasi perangkat lunak dompet, atau mengekstrak kunci pribadi dan seed phrase. Malware ini berjalan diam-diam tanpa pemberitahuan pengguna, membuat deteksi sangat sulit bagi pengguna rata-rata.

Serangan phishing ini melewati mekanisme verifikasi sistem operasi standar dan tidak memvalidasi tanda tangan digital—mengizinkan installer berbahaya ini berjalan tanpa memicu peringatan keamanan. Tingkat kecanggihan teknis ini membedakannya dari upaya phishing kasar dan menandai keterlibatan aktor ancaman yang terorganisir.

Belajar dari Serangan Masa Lalu: Precedent Meta

Kampanye phishing Cardano ini mengingatkan pada penipuan bisnis Meta yang terdokumentasi dan menimpa ribuan pengiklan. Dalam serangan sebelumnya itu, pengguna menerima email yang mengklaim akun iklan mereka melanggar regulasi UE dan akan segera ditangguhkan. Pesan tersebut menyertakan branding Instagram dan bahasa resmi untuk membangun otoritas.

Klik tautan phishing mengarahkan korban ke antarmuka Meta Business Manager palsu. Halaman palsu tersebut memperingatkan penghentian akun kecuali pengguna segera memperbarui kredensial mereka. Obrolan dukungan yang menipu kemudian membimbing pengguna melalui proses “pemulihan” sambil mengumpulkan informasi login mereka. Pararelnya mencolok: kedua kampanye menggunakan dalih regulasi, branding resmi, taktik urgensi, dan pengambilan kredensial.

Melindungi Diri dari Ancaman Phishing dan Malware

Para peneliti keamanan menekankan beberapa langkah perlindungan:

• Unduh hanya dari sumber resmi: Selalu peroleh perangkat lunak dompet langsung dari situs resmi proyek atau repositori GitHub yang terverifikasi, jangan melalui tautan email
• Verifikasi keaslian domain: Periksa URL dengan cermat—penipu sering mendaftarkan domain yang berbeda dari yang asli hanya dengan satu huruf
• Periksa kredensial pengirim: Proyek resmi tidak pernah meminta pengunduhan dompet melalui email yang tidak diminta
• Aktifkan perlindungan sistem: Pertahankan perangkat lunak antivirus yang terbaru, aktifkan Windows Defender, dan konfigurasikan aturan firewall
• Verifikasi tanda tangan digital: Perangkat lunak resmi menyertakan sertifikat digital yang valid; file tanpa tanda tangan harus langsung dicurigai
• Gunakan dompet perangkat keras: Untuk kepemilikan besar, pertimbangkan dompet perangkat keras seperti Ledger atau Trezor yang tidak bisa dikompromikan oleh malware desktop
• Laporkan email mencurigakan: Teruskan upaya phishing ke proyek dompet dan penyedia email Anda

Kecanggihan operasi phishing ini—menggabungkan keahlian malware teknis dengan psikologi rekayasa sosial—menegaskan mengapa kewaspadaan tetap sangat penting. Bahkan komunikasi yang tampak profesional dan antarmuka yang tampak sah bisa menyembunyikan ancaman yang menghancurkan. Seiring adopsi Cardano berkembang, daya tariknya bagi penjahat siber pun meningkat, menjadikan kesadaran komunitas tentang taktik phishing dan mekanisme pengiriman malware sangat penting untuk keamanan ekosistem.