Pengguna Cardano Sedang Diserang: Bagaimana Phishing dan Malware Mengancam Dompet Anda

Sebuah kampanye serangan canggih sedang menargetkan pengguna cryptocurrency Cardano melalui distribusi phishing dan malware yang terkoordinasi. Penjahat siber mengaku sebagai tim dompet Eternl Desktop yang sah, memanfaatkan email penipuan untuk memikat korban mengunduh installer berbahaya yang memberikan akses penuh ke sistem dari jarak jauh. Ancaman berlapis ini menggabungkan rekayasa sosial dengan teknik kompromi endpoint tingkat lanjut.

Kampanye Penipuan Mengaku sebagai Dompet Eternl Melalui Komunikasi Palsu

Penyerang meluncurkan serangan phishing terkoordinasi dengan mengaku sebagai anggota tim Eternl melalui email yang dirancang secara profesional. Pesan palsu ini mempromosikan versi dompet desktop yang tidak ada sambil mengklaim menawarkan hadiah cryptocurrency eksklusif, khususnya token NIGHT dan ATMA. Komunikasi penipuan ini menyoroti fitur palsu seperti manajemen kunci lokal dan kompatibilitas dompet hardware—rincian yang disalin dari pengumuman resmi Eternl.

Email tersebut menunjukkan tampilan profesional dengan teks yang grammatically benar dan tanpa kesalahan ejaan yang mencolok, menciptakan kesan keaslian yang meningkatkan kemungkinan pengguna terlibat. Penerima diarahkan untuk mengklik tautan yang mengarah ke domain yang baru terdaftar: download(dot)eternldesktop(dot)network. Menurut peneliti ancaman Anurag, penyerang menginvestasikan usaha besar dalam meniru gaya komunikasi resmi dan posisi produk untuk melewati keraguan pengguna.

Strategi utama penipuan ini berputar di sekitar urgensi dan insentif. Dengan mengiming-imingi hadiah token dan menggambarkan “versi wallet baru” sebagai peluang eksklusif, penyerang memanfaatkan rasa ingin tahu alami anggota komunitas Cardano. Setelah pengguna mengklik, mereka akan melihat prompt untuk mengunduh file installer MSI—yang menjadi titik masuk untuk kompromi sebenarnya.

Mekanisme Pengiriman Malware: Remote Access Trojan Tersembunyi dalam Installer

Installer berbahaya, bernama Eternl.msi (hash file: 8fa4844e40669c1cb417d7cf923bf3e0), berisi utilitas LogMeIn Resolve yang dibundel. Setelah dijalankan, installer menempatkan file executable bernama “unattended updater.exe”—versi yang disamarkan dari GoToResolveUnattendedUpdater.exe. File executable ini adalah payload malware sebenarnya yang bertanggung jawab atas kompromi sistem.

Setelah terinstal, trojan membuat struktur folder tertentu di dalam Program Files dan menulis beberapa file konfigurasi, termasuk unattended.json dan pc.json. Konfigurasi unattended.json mengaktifkan kemampuan akses jarak jauh tanpa sepengetahuan atau persetujuan pengguna. Ini memungkinkan penyerang membangun koneksi permanen ke sistem korban, memberi mereka kendali penuh atas file, proses, dan komunikasi jaringan.

Analisis lalu lintas jaringan mengungkapkan bahwa sistem yang terkompromi mencoba membangun koneksi ke infrastruktur command-and-control GoTo Resolve yang dikenal, khususnya ke devices-iot.console.gotoresolve.com dan dumpster.console.gotoresolve.com. Malware ini mengirim data enumerasi sistem dalam format JSON, secara efektif menciptakan backdoor yang memungkinkan aktor ancaman menjalankan perintah sembarangan dan mengekstraksi data sensitif.

Mengenali Tanda Bahaya Sebelum Instalasi

Pengguna dapat mengidentifikasi dan menghindari serangan ini dengan memeriksa beberapa indikator peringatan. Unduhan wallet yang sah hanya seharusnya berasal dari situs resmi proyek atau repository terpercaya—domain yang baru terdaftar adalah tanda bahaya langsung. Saluran distribusi resmi Eternl tidak pernah melakukan kampanye email yang tidak diminta yang menawarkan hadiah token.

Sebelum instalasi, pengguna harus memverifikasi tanda tangan file dan nilai hash terhadap pengumuman resmi. Kehadiran executable yang tidak ditandatangani atau hash kriptografi yang tidak cocok menunjukkan adanya modifikasi. Selain itu, perangkat lunak wallet yang sah tidak akan memerlukan hak istimewa tinggi atau membuat direktori sistem dan file konfigurasi tersembunyi selama proses instalasi.

Praktik keamanan terbaik untuk pengguna Cardano meliputi: memverifikasi alamat email pengirim terhadap daftar kontak resmi, memeriksa URL untuk kesalahan ketik halus atau pendaftaran domain yang mencurigakan, menghindari mengunduh dari tautan email, dan menjaga perangkat lunak antivirus tetap terbaru yang mampu mendeteksi remote access trojans seperti payload berbasis LogMeIn.

Belajar dari Penipuan Serupa: Preseden Meta

Polanya sangat mirip dengan kampanye phishing sebelumnya yang menargetkan pengguna Meta Business. Dalam insiden tersebut, korban menerima email yang mengklaim akun iklan mereka telah ditangguhkan karena pelanggaran regulasi UE. Pesan tersebut menggunakan branding Meta yang asli dan bahasa resmi untuk membangun kredibilitas. Pengguna yang mengklik diarahkan ke halaman login Meta Business palsu, di mana mereka diminta memasukkan kredensial. Obrolan dukungan palsu kemudian membimbing korban melalui proses “pemulihan” yang mengumpulkan detail autentikasi mereka.

Kesamaan struktural antara kampanye Meta dan serangan Cardano ini menunjukkan evolusi playbook penyerang: mengaku sebagai merek terpercaya, menciptakan urgensi buatan, mengumpulkan kredensial atau menyebarkan malware, dan memanfaatkan kepercayaan pengguna terhadap komunikasi resmi. Kesadaran akan taktik ini memperkuat posisi pertahanan di komunitas cryptocurrency dan aset digital yang lebih luas.

Para peneliti keamanan mendesak semua peserta ekosistem Cardano untuk tetap waspada, memverifikasi sumber secara independen, dan melaporkan komunikasi mencurigakan ke tim keamanan resmi.