Bagaimana Pendiri Crypto Singapura Menjadi Korban Terbaru dalam Kampanye Malware yang Canggih

Ketika Penampilan Profesional Tidak Cukup Melindungi

Komunitas kripto kembali diperingatkan tentang bahaya peluang yang tampaknya sah. Mark Koh, yang mendirikan RektSurvivor—sebuah organisasi yang didedikasikan untuk mendukung korban penipuan—mengalami hal ini dengan cara yang keras ketika dia kehilangan lebih dari $14.000 nilai cryptocurrency melalui sebuah penipuan yang dirancang secara rumit.

Pada 5 Desember, Koh menghadapi apa yang tampaknya merupakan peluang beta eksklusif untuk sebuah permainan daring bernama MetaToy, yang dipromosikan melalui Telegram. Mengingat latar belakangnya dalam mengevaluasi dan berinvestasi di proyek Web3, Koh menganggap tawaran tersebut kredibel. Situs web proyek, server Discord, dan anggota tim yang responsif semuanya menampilkan kesan legitimasi yang meyakinkan dia untuk melanjutkan. Kesalahan kritis terjadi saat dia mengunduh launcher permainan MetaToy—yang ternyata mengandung malware tersembunyi.

Akibatnya: Bagaimana Langkah Keamanan Masih Gagal

Apa yang terjadi selanjutnya mengungkapkan betapa canggihnya ancaman modern saat ini. Meskipun Norton antivirus menandai aktivitas mencurigakan dan Koh langsung mengambil tindakan—melakukan pemindaian sistem lengkap, menghapus file dan entri registry yang terdeteksi, bahkan melakukan reinstall Windows 11 secara menyeluruh—kerusakan sudah terjadi. Dalam waktu 24 jam setelah upaya pembersihan ini, setiap dompet yang terhubung ke ekstensi browser Rabby dan Phantom-nya benar-benar kosong.

Total kerugian: 100.000 yuan ($14.189) yang terkumpul selama delapan tahun keterlibatan di dunia crypto.

“Saya bahkan tidak masuk ke aplikasi dompet saya. Saya memiliki seed phrase yang terpisah. Tidak ada yang disimpan secara digital,” jelas Koh kepada media, menyoroti betapa invasifnya serangan tersebut.

Serangan Multi-Vektor

Analisis Koh, dikombinasikan dengan wawasan keamanan siber, menunjukkan bahwa serangan ini menggunakan beberapa teknik canggih yang bekerja secara bersamaan. Mekanisme utama tampaknya adalah pencurian token otentikasi dari ekstensi browser. Tetapi pelaku juga memanfaatkan kerentanan zero-day di Google Chrome yang ditemukan pada September, yang memungkinkan eksekusi kode berbahaya secara sembarangan.

Kompleksitas operasi ini menjadi jelas ketika Koh menyadari bahwa Norton telah memblokir dua upaya peretasan DLL (dynamic link library) yang berbeda. Pelaku juga menyisipkan proses terjadwal berbahaya, menunjukkan bahwa perilaku mencurigakan muncul melalui berbagai jalur, bukan hanya satu vektor eksploitasi.

Konteks Industri: Meningkatnya Kecanggihan Malware

Kasus ini bukanlah yang pertama. Sepanjang 2024, penjahat siber telah meningkatkan taktik mereka secara signifikan. McAfee mendokumentasikan hacker yang memanfaatkan repositori GitHub untuk mempertahankan koneksi permanen ke infrastruktur malware perbankan, memastikan server perintah mereka tetap aktif bahkan saat tim keamanan mematikan mereka. Industri juga menyaksikan lonjakan alat AI palsu yang dirancang untuk menyebarkan malware pencuri crypto, overlay CAPTCHA palsu, dan injeksi kode berbahaya yang menargetkan ekstensi browser Ethereum.

Saran untuk Target Bernilai Tinggi

Menyadari bahwa individu tertentu—angel investor, pengembang, dan beta tester—menghadapi risiko lebih tinggi, Koh berbagi rekomendasi khusus. Bagi mereka yang mengikuti langkah keamanan standar tetapi tetap menginginkan perlindungan tambahan, dia menekankan praktik penting: aktif menghapus dan menghapus seed phrase dari dompet hot berbasis browser saat tidak digunakan.

Lebih aman lagi: gunakan private key daripada seed phrase untuk akun bernilai tinggi. Pendekatan ini mencegah dompet turunan dari kompromi jika dompet utama diretas.

Investigasi Lebih Luas dan Korban Serupa

Koh melaporkan insiden ini ke kepolisian Singapura, yang mengonfirmasi menerima laporannya. Korban MetaToy lain, yang diidentifikasi sebagai Daniel dan juga berbasis di Singapura, membenarkan keberadaan penipuan tersebut. Yang menarik, Daniel tetap berhubungan dengan pelaku, yang secara keliru percaya bahwa dia masih berusaha mengunduh launcher. Detail ini menegaskan betapa terencana operasi ini—penyerang mempertahankan keterlibatan dengan calon korban, menunjukkan kampanye yang terorganisir daripada eksploitasi dadakan.

Apa Artinya Ini bagi Komunitas Crypto

Insiden MetaToy ini menggambarkan pola yang mengkhawatirkan: ketika aktor jahat menggabungkan desain web profesional dengan komunikasi tim yang tampak sah, mereka berhasil lolos dari screening awal yang dilakukan sebagian besar investor. Pelajaran yang lebih dalam dari sekadar “jangan unduh file mencurigakan.” Ini menyoroti bahwa bahkan praktik keamanan paranoid—antivirus, pemindaian sistem, reinstall OS lengkap—mungkin tidak cukup melawan serangan yang dirancang dengan redundansi ganda dan memanfaatkan kerentanan zero-day.

Bagi peserta crypto di semua level, pesan utamanya jelas: anggaplah penyerang canggih memiliki akses ke alat-alat mutakhir. Lapisi pertahanan secara berlapis, jaga kebersihan seed phrase secara ketat, dan tetap curiga terhadap peluang yang terlalu terorganisir dengan baik, terlepas dari seberapa sah tampilan luarnya.