SeaFlower | Ancaman Paling Canggih Penarget Web3

　　

　　Peneliti keamanan telah menemukan operasi berbahaya berskala besar yang menggunakan aplikasi dompet cryptocurrency seluler tertrojan untuk layanan Coinbase, MetaMask, TokenPocket, dan imToken.

　　

　　

　　Aktivitas jahat telah diidentifikasi awal tahun ini pada bulan Maret. Para peneliti di Confiant menamai klaster aktivitas ini SeaFlower dan menggambarkannya sebagai “ancaman paling canggih secara teknis yang menargetkan pengguna web3, tepat setelah Grup Lazarus yang terkenal.”

　　

　　

　　Dalam laporan baru-baru ini, aplikasi cryptocurrency tersebut berbahaya dan sangat identik dengan yang asli tetapi mereka datang dengan celah yang dapat mencuri frase keamanan pengguna untuk mengakses aset digital.

　　Pelaku ancaman di balik aktivitas SeaFlower tampaknya adalah bersumber dari Tiongkok, sesuai petunjuk seperti bahasa komentar dalam kode sumber, lokasi infrastruktur, kerangka kerja, dan layanan yang digunakan.

　　Sebelum kita terjun lebih dalam mengenai aktifitas SeaFlower ini, kami tidak bosan menginformasikan pentingnya informasi untuk menghindari segala jenis trik yang dapat mencuri hasil jerih payah Anda, kini Anda dapat cari dan mempelajari langsung dari aplikasi WikiBit, di kolom paparan (eksposure).

　　

　　

　　

• Distribusi aplikasi

　　

　　

　　Langkah pertama dalam operasi SeaFlower adalah menyebarkan aplikasi trojan ke sebanyak mungkin pengguna.

　　Pelaku ancaman mencapai ini melalui klon situs web yang sah, meracuni SEO, dan teknik SEO hitam.

　　

　　

　　

　　Mungkin juga aplikasi dipromosikan di saluran media sosial, forum, dan malvertising, tetapi saluran distribusi utama yang diamati adalah dari layanan situs pencarian.

　　Para peneliti telah menemukan bahwa hasil pencarian dari mesin Baidu adalah yang paling terpengaruh oleh operasi SeaFlower, mengarahkan sejumlah besar lalu lintas ke situs berbahaya.

　　

　　

　　Di iOS, situs ini menyalahgunakan profil untuk memuat aplikasi berbahaya di perangkat agar bisa melewati perlindungan keamanan.

　　

　　

　　Profil penyediaan digunakan untuk mengikat pengembang dan perangkat ke tim pengembangan resmi.

　　Ini memungkinkan untuk perangkat digunakan untuk menguji kode aplikasi, menjadikannya metode yang ampuh untuk menambahkan aplikasi berbahaya ke perangkat.

　　

　　

　　

• Backdoor Aplikasi

　　

　　

　　Analis Confiant merekayasa balik aplikasi untuk mencari tahu bagaimana penulis SeaFlower telah menanam backdoors dan menemukan kode serupa di semuanya.

　　

　　

　　

　　

　　

　　Untuk aplikasi MetaMask di iOS, kode pintu belakang diaktifkan setelah menghasilkan frase benih dan sebelum disimpan dalam bentuk terenkripsi.

　　Ini berarti bahwa pelaku ancaman memotong frasa sandi saat membuat dompet baru atau saat menambahkan dompet yang sudah ada ke aplikasi yang baru diinstal.

　　

　　Salah satu fungsi yang diidentifikasi dalam kode pintu belakang, “startupload”, bertanggung jawab untuk mencuri frase benih dan mengirimkannya ke domain yang meniru vendor yang sah.

　　Misalnya, pelaku ancaman menggunakan permintaan POST untuk mengekstrak frasa sandi ke 'trx.lnfura[.]org' - yang meniru 'infura.io' asli.

　　Demikian pula, mereka menggunakan 'metanask[.]cc', yang meniru domain asli MetaMask.

　　

　　

　　

　　beberapa fungsi dikaburkan menggunakan algoritma pengkodean base64 dan dienkripsi menggunakan kriptosistem RSA.

　　Namun, kuncinya di-hardcode, sehingga analis dapat mendekripsi backdoor, menguji kode, dan memvalidasinya saat runtime.

　　

　　

　　

　　Kode backdoor tidak begitu tersembunyi di aplikasi berbahaya varian Android, dan para peneliti dapat mengakses lebih banyak fungsi mereka tanpa banyak usaha.

　　Aspek yang sangat menarik dalam backdoor yang ditemukan adalah injeksi React Native Bundle langsung ke instance RCTBridge untuk memuat JavaScript.

　　Mengacu pada temuan ini, Taha Karim, direktur intelijen ancaman di Confiant, berbagi komentar berikut dengan BleepingComputer:

　　Menyuntikkan paket asli reaksi jelas merupakan sesuatu yang baru di dunia backdoor, ini berkaitan dengan metamask sebagai aplikasi asli reaksi. Penyerang menghabiskan waktu untuk merekayasa balik React native bridge dan memahami bagaimana dan di mana bundel dimuat.

　　Mereka menambahkan tweak logo untuk memaksa bundel backdoor dimuat saat runtime dan menjalankannya oleh javascriptcore.

　　Bundel datang RSA dienkripsi dan disembunyikan di dalam file dylib, yang juga disuntikkan saat runtime.

　　

　　

　　Untuk melindungi dari ancaman licik ini, pengguna cryptocurrency harus mengunduh aplikasi dompet hanya dari sumber tepercaya, seperti toko aplikasi resmi atau dari situs web pengembang.

　　Untuk memudahkan Anda kunjungi website asli bursa pertukaran hanya dari aplikasi WikiBit, agar Anda terhindar dari tipuan-tipuan phising.

　　Gunakan fitur pencarian dari aplikasi WikiBit, lalu ketik nama bursa pertukaran Anda, dan kemudian temukan situs web bursa pertukaran yang Anda ingin kunjungi.

　　

　　Mudah bukan？ jadi download an gunakan aplikasi yang punya informasi akurat ruang kripto, WikiBit.

　　Sebarkan pada kerabatmu, dan mari bersama menjaga membentuk ruang kripto dan berinvestasi di lingkungan yang aman.

　　

　　

　　

　　Editor: Abdhan S.E

　　Sumber: Confiant