Langsung ke konten utama
100.000 Kunjungan yang Dikembalikan - Analisis Malvertising
Investigasi • Waktu baca: 5—7 menit

$100K Returned — Malvertising Scam Foiled

Para penipu asal Rusia menyamar sebagai proyek kripto melalui malvertising dan malware pencuri data. Kami mendeteksi operasi tersebut, memulihkan akses dompet, dan mengembalikan lebih dari $100K. Dana tambahan yang berhasil dipulihkan disumbangkan ke @_SEAL_Org. Di bawah ini: rincian, IOC, dan pelajaran yang dapat dipetik.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Awalnya diterbitkan pada Medium — PhishDestroy

Gambaran Umum

Sebuah proyek mata uang kripto menjadi korban serangan rekayasa sosial yang menyamar sebagai kemitraan periklanan yang sah. PhishDestroy memulihkan akses dompet dan mengembalikan lebih dari $100.000 dalam dana yang terkompromi, kemudian mengalihkan hadiah yang ditawarkan ke sebuah organisasi eksternal demi menjaga independensi.

Yang Perlu Anda Ketahui

  • Dompet digital tersebut sudah diretas; dananya sudah dipindahkan.
  • Akses telah dipulihkan dan $100K+ tidak diizinkan untuk tetap bersama pelaku.
  • Proyek tersebut menawarkan hadiah, yang ditolak dan dialihkan ke @_SEAL_Org sebagai gantinya.
  • Pekerjaan ini dilakukan secara mandiri sebagai upaya pribadi, bukan sebagai pekerjaan berbayar.

Bagaimana Modus Operasi Penipuan Ini

  • Korban menerima proposal kemitraan/iklan untuk sebuah game kripto.
  • Serangan tersebut tampak meyakinkan: situs web yang profesional, akun X (Twitter) yang sudah mapan, serta panggilan video yang tampak sah.
  • Selama panggilan telepon, para penyerang meminta agar aplikasi "workplace viewer" diinstal untuk mengakses materi-materi tersebut.
  • "Penonton" itu adalah malware pencuri.
  • Para penyerang menarik dana, menukar token antar-rantai, dan memindahkan aset ke dompet mereka sendiri.

Tindakan Tanggap Darurat yang Telah Dilakukan

  1. Telah dipastikan terjadi pelanggaran dan pergerakan lebih lanjut telah dihentikan.
  2. Akses dompet telah dipulihkan untuk pemilik yang sah.
  3. Kontrol atas dompet penerima milik penyerang telah diamankan dan dialihkan kepada tim korban.
  4. Langkah-langkah tindak lanjut yang terkoordinasi untuk mengurangi risiko sisa.
Hasil: Akses telah dipulihkan, kendali telah dikembalikan, dan penyerang telah diblokir.

Penguatan Keamanan Pasca-Insiden

Keamanan Perangkat

  • Panduan langkah demi langkah untuk menangani perangkat yang terinfeksi dengan aman
  • Isolasi jaringan, pencabutan sesi, rotasi kredensial/kunci, rencana pembangunan ulang yang bersih

Pengaturan Operasional

  • Stasiun kerja baru dan bersih yang khusus digunakan untuk operasi dompet digital
  • Sistem operasi terbaru, unduhan eksklusif dari vendor, dompet perangkat keras, ekstensi minimal, profil peramban terpisah, 2FA

Persiapan Forensik

  • Panduan pembuatan snapshot disk dan pengumpulan log sistem/aplikasi
  • Penyimpanan barang bukti untuk penyelidikan hukum yang mungkin dilakukan

Memahami "Adverting"

Iklan adalah teknik rekayasa sosial bergaya bisnis di mana para penjahat meniru alur kerja yang biasa (pembelian iklan, kemitraan, hubungan masyarakat) untuk mengelabui korban agar menginstal "klien" berbahaya.

Tanda-tanda peringatan yang umum:

  • "Pasang pengelola/pembantu iklan kami untuk menyinkronkan materi iklan"
  • "Gunakan klien Zoom/Telegram khusus kami untuk panggilan ini"
  • "Buka kit media/NDA kami melalui penampil yang aman"
Aturan utama: Jika alur kerja dari pihak yang tidak dikenal memerlukan klien/penampil/pembaruan khusus, anggaplah hal tersebut sebagai ancaman secara default. Gunakan hanya unduhan resmi dari vendor.

Imbalan dan Kemandirian

  • Proyek tersebut menawarkan imbalan karena jumlah yang berhasil dipulihkan melebihi kerugian awal.
  • PhishDestroy menolak untuk menerima hadiah tersebut.
  • Seluruh surplus dialokasikan ke @_SEAL_Org.
  • Hal ini menjaga kemandirian — tanpa sumber pendanaan maupun kewajiban apa pun.

Prinsip-Prinsip Dasar

  • Hanya kemerdekaan — tanpa anggaran atau syarat apa pun.
  • Pendekatan yang berfokus pada hasil daripada sekadar diskusi.
  • Penolakan terhadap "klien khusus" apa pun atau perangkat lunak yang belum terverifikasi.
  • Pengungkapan selektif yang membantu para korban, bukan pelaku ancaman.
  • Tekanan langsung terhadap infrastruktur penyerang.

Rekomendasi Praktis

Untuk Proyek & Tim

  • Jangan pernah menginstal penampil/klien/pembaruan di tempat kerja yang berasal dari pihak ketiga yang tidak terverifikasi.
  • Unduh Zoom/Telegram hanya dari situs resmi penyedia layanan tersebut.
  • Hindari tautan bersponsor untuk dompet, jembatan, dan airdrop.
  • Pilihlah dompet perangkat keras yang memiliki penyimpanan seed secara offline.
  • Jika terjadi pelanggaran keamanan: batalkan sesi, pindahkan dana, ganti kunci, terbitkan ulang kode rahasia, dan segera minta bantuan.

Untuk Komunitas

Kesimpulan

Meskipun dana tersebut telah dipindahkan, PhishDestroy akses telah dipulihkan dan memastikan bahwa pelaku serangan tidak dapat mempertahankan aset yang dicurinya. Dengan menolak hadiah tersebut dan mengalihkan dana yang tersisa ke tujuan lain, organisasi tersebut mempertahankan model operasionalnya yang tidak dibayar dan independen, yang berfokus pada penanggulangan insiden yang cepat dan efektif.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Bagikan Investigasi Ini

X / Twitter Telegram Reddit LinkedIn

Penyelidikan Terkait

Analisis Teknik Phishing Kripto: 8 Program Pencuri Frasa Benih Asli yang Telah Dianalisis Secara Terbalik
PENELITIAN MENDALAM
Analisis Teknik Phishing Kripto: 8 Program Pencuri Frasa Benih Asli yang Telah Dianalisis Secara Terbalik
$0 Takedowns: How We Disrupt Phishing Infrastructure
PENYELIDIKAN
$0 Takedowns: How We Disrupt Phishing Infrastructure
Penipu Terbongkar: 4 Sistem Belakang Penipuan Diulik
PENYELIDIKAN
Penipu Terbongkar: 4 Sistem Belakang Penipuan Diulik
Pemberitahuan mengenai transparansi. PhishDestroy adalah proyek independen yang bersifat non-komersial. Penelitian kami mungkin mencerminkan bias bawaan terhadap infrastruktur penipuan dan layanan yang mendukungnya. Kami mendorong para pembaca untuk mengevaluasi semua materi secara kritis dan mandiri. Baca pernyataan transparansi lengkap kami →