Malware HackBoss menggunakan Telegram untuk mencuri cryptocurrency dari peretas lain

Peretas mendistribusikan malware pencuri cryptocurrency melalui saluran Telegram kepada calon peretas dalam penipuan yang telah menghasilkan $500.000, menurut peneliti keamanan.

Menurut perusahaan keamanan siber Avast, Peretas menjalankan saluran Telegram yang disebut "Hack Boss" untuk mendistribusikan perangkat lunak berbahaya untuk digunakan peretas lain. Sayangnya bagi para peretas yang mengunduhnya, perangkat lunak itu tidak akan membantu mereka menyebarkan malware. Sebaliknya, itu akan menginfeksi sistem mereka dengan malware pencuri cryptocurrency.

Para peneliti menjuluki malware HackBoss setelah saluran Telegram tempat mereka menemukannya. Saluran tersebut mengklaim menyediakan “Perangkat lunak terbaik untuk peretas (retas bank/kencan/bitcoin).” Perangkat lunak yang seharusnya dipublikasikan di saluran ini bervariasi dari bank dan cracker situs sosial hingga berbagai dompet cryptocurrency dan cracker kunci pribadi atau generator kode kartu hadiah.

“Namun, meskipun setiap aplikasi yang dipromosikan dijanjikan sebagai aplikasi peretasan atau cracking, itu tidak pernah terjadi. Kebenarannya sangat berbeda — setiap posting yang diterbitkan hanya berisi malware pencuri cryptocurrency yang disembunyikan sebagai aplikasi peretasan atau cracking. Terlebih lagi, tidak ada aplikasi yang diposting di saluran ini yang memberikan perilaku yang dijanjikan:semuanya palsu,” kata peneliti.

Dalam penyelidikan, peneliti menemukan HackBoss dikirimkan sebagai file zip. Saat dibuka, executable meluncurkan antarmuka pengguna. Apa pun yang diklaim oleh alat peretasan, antarmuka pengguna mendekripsi dan memasang malware pencuri mata uang kripto di sistem korban. Eksekusi berjalan setelah korban mengklik tombol apa pun.

Malware mencari sistem korban untuk dompet mata uang kripto dan menggantinya dengan miliknya sendiri.

“Payload berbahaya terus berjalan di komputer korban bahkan setelah UI aplikasi ditutup. Jika proses berbahaya dihentikan — misalnya melalui Pengelola tugas — maka proses tersebut dapat dipicu lagi saat startup atau oleh tugas yang dijadwalkan pada menit berikutnya,” kata peneliti.

“Perilaku seperti itu dapat dengan mudah diabaikan oleh korban yang kurang jeli dan dapat menyebabkan kerugian moneter yang signifikan.”

Sejauh ini, para peneliti telah menemukan lebih dari 100 alamat dompet cryptocurrency milik penulis HackBoss. Ini adalah dompet yang ditempatkan malware HackBoss sebagai pengganti dompet kripto korban. Pembuat malware telah mengumpulkan $560.000 dari para korban sejak penipuan dimulai pada November 2018.

Sementara penulis HackBoss mempromosikan alat peretasan palsu mereka melalui media lain, Telegram tampaknya menjadi jalur distribusi utamanya.