Image credit: Freepix
Saat Adware Menjadi Pembunuh Antivirus – Sebuah laporan investigasi siber mengungkap fakta mengejutkan mengenai tipisnya batasan antara program yang dianggap “sekadar mengganggu” dengan perangkat lunak jahat yang mematikan.
Sebuah pembaruan perangkat lunak instan telah mengubah program adware (iklan) menjadi penghancur antivirus, yang melumpuhkan hampir 24.000 sistem komputer di lima benua dan menyiapkannya untuk serangan siber lanjutan yang jauh lebih berbahaya.
Banyak orang cenderung memandang adware atau bentuk lain dari Potentially Unwanted Programs (PUPs) hanya sebagai gangguan kecil yang memunculkan jendela iklan yang tidak diinginkan.
Namun, istilah “program yang berpotensi tidak diinginkan” sebenarnya adalah sebuah misnomer atau salah nama yang terlalu sopan. Kenyataannya, program-program ini sering kali merupakan malware yang menyamar sebagai perangkat lunak legal.
Salah satu aktor ancaman yang menyamar sebagai korporasi resmi menunjukkan kepada dunia apa yang sebenarnya bisa dilakukan oleh program-program ini.
Setelah menginfeksi puluhan ribu individu dan organisasi di seluruh dunia, mereka merilis pembaruan berbahaya yang mengubah adware mereka menjadi malware murni.
Beruntung, peneliti berhasil mengidentifikasi dan mengambil alih domain pembaruan utama malware tersebut (sinkholing), sehingga mencegah kerusakan yang lebih luas.
|
Baca juga: Mirax Trojan Android Pembajak IP |
Transformasi Dragon Boss
Aktor ancaman di balik kampanye ini, Dragon Boss Solutions LLC, mengeklaim sebagai perusahaan terdaftar yang berbasis di Uni Emirat Arab (UEA).
Profil bisnis mereka menyatakan bahwa perusahaan tersebut bergerak dalam riset solusi monetisasi pencarian untuk ekstensi peramban dan aplikasi desktop sebuah cara halus untuk mengatakan bahwa mereka menjalankan adware di peramban dan aplikasi.
Produk Dragon Boss biasanya ditandai sebagai ancaman oleh program antivirus. Sekitar setahun yang lalu, para pengelola program ini memutuskan untuk melakukan sesuatu yang drastis guna mengatasi deteksi tersebut.
Mereka menggunakan alat bantu populer bernama “Advanced Installer” untuk mengorganisir file instalasi mereka. Salah satu fitur alat ini adalah pemeriksaan pembaruan otomatis secara berkala.
Pada dini hari tanggal 22 Maret 2025, Dragon Boss mendorong pembaruan ke seluruh instansnya di seluruh dunia.
Muatan (payload) yang tersembunyi dalam pembaruan tersebut dirancang khusus untuk melumpuhkan alat keamanan yang mengenali dan menandai adware Dragon Boss, termasuk solusi antivirus dari ESET. Selain itu, mereka juga:
- Membangun persistensi melalui scheduled tasks.
- Mengatur agar muatan di masa mendatang dikecualikan dari pemindaian Windows Defender.
- Menambahkan komentar kode di dalam skrip yang menjelaskan setiap tindakan jahatnya secara rapi sebuah ciri yang membuat peneliti berspekulasi bahwa kode tersebut ditulis dengan bantuan Kecerdasan Buatan (AI).
Serangan Berantai dan Target Bernilai Tinggi
Dengan menonaktifkan solusi antivirus dan membangun persistensi, adware ini dapat menjalankan bisnis iklannya tanpa gangguan. Namun, dalam konteks keamanan siber, tindakan ini sama saja dengan membangun pintu belakang (backdoor) di ribuan sistem.
Melalui pembaruan lain, Dragon Boss bisa dengan mudah mengunggah ransomware, membangun botnet, atau memuat perangkat lunak jahat lainnya ke sistem yang terinfeksi.
Bahkan jika Dragon Boss tidak berniat melakukan itu, aktor ancaman lain bisa saja memanfaatkan celah ini. Peneliti menemukan bahwa instans adware Dragon Boss menarik pembaruan dari domain sekunder, sementara domain utamanya secara misterius dibiarkan tidak terdaftar.
Artinya, siapa pun yang mengetahui lokasi tersebut bisa mendaftarkan domain itu dengan biaya murah dan seketika memiliki akses untuk mengirimkan malware mereka sendiri ke puluhan ribu korban yang sudah terinfeksi.
Setelah dilakukan sinkholing, peneliti menemukan bahwa adware ini telah menyebar ke lebih dari 23.500 komputer di 124 negara.
Meskipun mayoritas berada di Amerika Serikat dan negara Barat lainnya, sejumlah organisasi bernilai tinggi juga ikut terinfeksi, termasuk:
- 35 entitas pemerintah.
- 41 jaringan Teknologi Operasional (OT) atau infrastruktur kritikal.
- 221 lembaga pendidikan tinggi.
- Beberapa perusahaan Fortune 500.
Banyak dari instans ini telah ada di perangkat korban sejak tahun 2022, sering kali disertai dengan PUPs lainnya, yang menunjukkan bahwa program ini kemungkinan besar disebarkan melalui paket perangkat lunak (bundled software).
Garis Tipis Antara PUPs dan Malware
Peneliti menekankan bahwa perbedaan antara PUPs dan malware tradisional sering kali hanya bergantung pada garis tipis antara persetujuan pengguna dan niat teknis, bukan pada kemampuan kodenya itu sendiri.
Dalam banyak kasus, program jenis ini sengaja terbang di bawah radar Endpoint Detection and Response (EDR) agar tetap bertahan hidup demi menghasilkan pendapatan iklan.
Namun, sejarah panjang menunjukkan bahwa adware sering kali menjadi jembatan bagi serangan yang lebih berat. Selain metode pembaruan perangkat lunak, adware juga sering mengirimkan malware atau ransomware secara diam-diam melalui iklan yang ditayangkan (malvertising).
Teknik ini sangat efektif dan sulit dideteksi karena peretas dapat menargetkan lokasi spesifik secara geografis (geofencing).
Sebagai contoh, penyerang bisa menargetkan rumah sakit tertentu dan mengirimkan iklan berisi kode ransomware kepada dokter yang sedang berselancar di situs web normal saat jam istirahat.
Sering kali, iklan berbahaya ini menggunakan materi kreatif dari pengiklan terkemuka agar terlihat tidak berbahaya, padahal pengiklan aslinya sama sekali tidak mengetahui bahwa nama mereka disalahgunakan.
Mitigasi dan Edukasi Keamanan
Kejadian yang melibatkan Dragon Boss di tahun 2026 ini memberikan pelajaran berharga bahwa tidak ada ancaman yang “terlalu kecil” untuk diabaikan.
Untuk melindungi organisasi dari risiko serupa, peneliti menyarankan langkah-langkah berikut:
- Salah satu cara paling sederhana namun efektif adalah dengan memblokir semua iklan dari semua komputer di jaringan Anda untuk meminimalisir risiko malvertising.
- Edukasi karyawan untuk tidak mengunduh perangkat lunak “gratisan” atau bundle yang sering kali menjadi pintu masuk bagi PUPs dan adware.
- Solusi keamanan seperti ESET PROTECT memiliki kemampuan untuk mendeteksi aplikasi yang berpotensi tidak diinginkan (PUA) dan memblokir perilaku anomali, seperti upaya aplikasi untuk menonaktifkan modul antivirus lainnya.
- Lakukan pemindaian terhadap tugas-tugas terjadwal (scheduled tasks) di Windows untuk memastikan tidak ada perintah tersembunyi yang digunakan oleh adware untuk mempertahankan persistensinya.
Kasus Dragon Boss membuktikan bahwa industri adware telah berevolusi menjadi ancaman keamanan tingkat lanjut yang mampu melumpuhkan pertahanan antivirus terbaik sekalipun.
Di tahun 2026, membiarkan sebuah adware tetap berada di sistem komputer adalah sebuah risiko yang tidak bisa ditoleransi.
Batas antara “iklan yang mengganggu” dan “infiltrasi siber” telah hilang sepenuhnya. Perlindungan siber yang kuat bukan hanya soal menangkal peretas, tetapi juga soal membersihkan sistem dari segala jenis program yang tidak diinginkan sebelum mereka berubah menjadi senjata digital yang mematikan.
Sumber berita:
