Geger Tool Hardware Palsu di Situs Resmi

Geger Tool Hardware Palsu di Situs Resmi – Perangkat keras pemantauan (hardware monitoring) baru saja diguncang oleh kabar buruk. CPUID, situs resmi yang menjadi rumah bagi perangkat lunak legendaris disusupi.

Seperti CPU-Z, HWMonitor, HWMonitor Pro, dan PerfMonitor, dilaporkan telah disusupi oleh aktor ancaman yang belum teridentifikasi.

Selama jendela waktu kurang dari 24 jam, situs tersebut digunakan sebagai alat distribusi otomatis untuk menyebarkan Remote Access Trojan (RAT) berbahaya yang dikenal sebagai STX RAT.

Serangan ini dikategorikan sebagai watering hole attack, sebuah metode di mana penyerang meretas situs web tepercaya yang sering dikunjungi oleh target spesifik untuk menjebak mereka agar mengunduh perangkat lunak yang telah terinfeksi.

Mengingat CPU-Z adalah standar industri bagi para teknisi komputer, gamer, dan overclocker di seluruh dunia, skala potensi ancaman ini menjadi perhatian serius bagi komunitas siber global.

Kronologi Singkat Infiltrasi

Berdasarkan laporan investigasi, insiden ini berlangsung pada tanggal 9 April mulai pukul 15.00 UTC hingga 10 April pukul 10.00 UTC.

Dalam kurun waktu tersebut, tautan unduhan untuk pemasang (installer) CPU-Z dan HWMonitor diganti secara acak dengan tautan yang mengarah ke situs web jahat milik penyerang.

Pihak CPUID sendiri telah mengonfirmasi pelanggaran tersebut melalui pernyataan resmi mereka. Peneliti mencatat bahwa celah masuk penyerang bukanlah melalui server utama, melainkan melalui fitur sekunder atau side API yang dikompromi.

Celah inilah yang menyebabkan situs utama secara acak menampilkan tautan unduhan palsu kepada pengunjung. Beruntung, peneliti menekankan bahwa file asli yang ditandatangani secara digital (signed original files) milik CPUID tidak ikut terdampak; serangan ini murni terjadi pada tingkat pengalihan tautan unduhan di situs web.

Teknik DLL Side-Loading dan Manipulasi File

Perangkat lunak yang telah dimodifikasi oleh peretas didistribusikan dalam dua format: arsip ZIP dan pemasang mandiri (standalone installer).

Meskipun di dalamnya terdapat file eksekutabel asli yang ditandatangani secara sah oleh vendor, peretas menyisipkan sebuah file jahat bernama CRYPTBASE.dll.

Di sinilah letak kecanggihan sekaligus bahayanya. Penyerang menggunakan teknik yang disebut sebagai DLL Side-Loading.

Secara teknis, ketika pengguna menjalankan aplikasi asli (misalnya CPU-Z), sistem operasi Windows akan mencari file DLL pendukung.

Peretas memanfaatkan urutan pencarian sistem operasi untuk memastikan bahwa file CRYPTBASE.dll jahat miliknya dimuat terlebih dahulu sebelum file asli sistem.

Setelah file DLL jahat tersebut aktif, ia akan melakukan serangkaian prosedur keamanan internal:

1. Pengecekan Anti-Sandbox: Malware akan memeriksa apakah ia sedang dijalankan di lingkungan virtual atau sandbox milik peneliti. Jika terdeteksi, malware akan menghentikan aktivitasnya agar tidak dianalisis.
2. Payload Eksternal: Jika lingkungan dianggap “aman” (yaitu komputer asli milik korban), malware akan menghubungi server eksternal untuk mengunduh dan mengeksekusi muatan tambahan.
3. Deploy STX RAT: Tujuan akhir dari seluruh rangkaian ini adalah menanamkan STX RAT ke dalam sistem korban.

Pencuri Data dengan Kendali Penuh

STX RAT bukanlah ancaman biasa. Peneliti menjelaskan bahwa trojan ini memiliki kemampuan infostealer yang luas serta fitur HVNC (Hidden Virtual Network Computing).

HVNC memungkinkan penyerang untuk membuka sesi desktop virtual tersembunyi di komputer korban, sehingga mereka dapat mengoperasikan komputer tersebut tanpa diketahui oleh pengguna yang sedang duduk di depan layar.

Beberapa kemampuan utama dari STX RAT meliputi:

• Kendali Jarak Jauh Total: Penyerang dapat mengeksekusi perintah sistem secara langsung.
• Post-Exploitation: Kemampuan untuk menjalankan file EXE, DLL, skrip PowerShell, hingga shellcode langsung di dalam memori tanpa menyentuh hard drive (teknik fileless).
• Terowongan Proxy: Mengubah komputer korban menjadi reverse proxy untuk menyembunyikan aktivitas serangan berikutnya.
• Pencurian Data Sensitif: Mengambil kredensial perbankan, kata sandi yang tersimpan di peramban, hingga data pribadi lainnya.

Data investigasi menunjukkan bahwa jejak digital serangan ini memiliki kemiripan yang mencolok dengan kampanye sebelumnya yang menargetkan pemasang FileZilla palsu pada awal bulan lalu.

Penyerang tampaknya menggunakan infrastruktur Command-and-Control (C2) dan konfigurasi koneksi yang sama, yang memudahkan peneliti untuk mengidentifikasi pola serangan mereka.

Dampak Global dan Kelalaian Penyerang

Hingga saat ini, peneliti telah mengidentifikasi lebih dari 150 korban, yang sebagian besar adalah individu. Namun, dampak serangan ini juga merambah ke sektor organisasi di bidang:

• Ritel.
• Manufaktur.
• Konsultasi.
• Telekomunikasi.

Hingga pertanian. Infeksi terbanyak dilaporkan berada di wilayah Brasil, Rusia, dan Tiongkok.

Menariknya, peneliti memberikan catatan kritis terhadap kemampuan operasional sang peretas, meskipun serangannya berhasil menyusup ke situs sebesar CPUID.

Penyerang dianggap melakukan kesalahan amatir dengan menggunakan kembali rantai infeksi dan nama domain C2 yang sama dengan serangan FileZilla sebelumnya.

Rendahnya kemampuan keamanan operasional (OPSEC) dari peretas ini justru memudahkan peneliti untuk mendeteksi kompromi watering hole tersebut sesaat setelah serangan dimulai.

Langkah Mitigasi

Bagi siapa pun yang mengunduh perangkat lunak dari situs CPUID pada rentang waktu 9 hingga 10 April 2026, sangat disarankan untuk melakukan langkah-langkah darurat berikut:

1. Verifikasi Tanda Tangan Digital: Pastikan file .exe yang Anda unduh memiliki tanda tangan digital yang sah dari “CPUID”. Jika Anda menemukan file DLL tambahan yang mencurigakan seperti CRYPTBASE.dll di folder instalasi, segera hapus aplikasi tersebut.
2. Pemindaian Menyeluruh: Gunakan solusi keamanan seperti ESET yang memiliki kemampuan deteksi perilaku (behavioral detection) untuk memindai sistem Anda. ESET dikenal efektif dalam mendeteksi teknik side-loading dan komunikasi C2 yang dilakukan oleh STX RAT.
3. Ganti Kredensial: Karena STX RAT memiliki kemampuan mencuri informasi, sangat disarankan untuk mengganti kata sandi akun-akun penting (terutama perbankan dan email) setelah Anda memastikan sistem telah bersih.
4. Waspada Tautan Unduhan: Selalu periksa URL saat mengunduh perangkat lunak. Pastikan Anda berada di domain asli dan perhatikan jika ada pengalihan (redirection) ke alamat web yang tampak asing atau acak.

Keamanan di Ujung Jari

Insiden CPUID mengingatkan kita bahwa bahkan situs web yang paling tepercaya sekalipun bisa menjadi vektor serangan jika ada celah kecil pada API mereka. Kecepatan peneliti dalam mengidentifikasi ancaman ini adalah bukti bahwa kolaborasi intelijen ancaman global sangat krusial.

Bagi para pengguna, kewaspadaan adalah kunci utama. Jangan pernah mengabaikan peringatan dari perangkat lunak keamanan Anda, dan selalu lakukan pengecekan mandiri terhadap integritas file yang diunduh.

Dalam dunia siber yang semakin kompleks, sedikit rasa skeptis terhadap tautan unduhan bisa menyelamatkan data dan privasi Anda dari tangan-tangan jahat.

Sumber berita:

WeLiveSecurity