Image credit: magnific
Malware Baru Incar 59 Platform Keuangan – Sebuah trojan perbankan baru bernama TCLBanker telah teridentifikasi menargetkan 59 platform perbankan, teknologi finansial (fintech), dan mata uang kripto.
Malware ini menyebar melalui penginstal MSI palsu dari aplikasi sah Logitech AI Prompt Builder untuk menginfeksi sistem korbannya.
Temuan dari peneliti keamanan menunjukkan bahwa TCLBanker merupakan evolusi besar dari keluarga malware lama bernama Maverick atau Sorvepotel.
Meskipun saat ini fokus serangannya terpantau di wilayah Brasil, para peneliti memperingatkan bahwa malware ini sering kali memperluas jangkauan targetnya ke wilayah global di masa depan.
|
Baca juga: Bahaya Ekstensi Pencuri di Cursor |
Kemampuan Teknis dan Teknik Kamuflase
TCLBanker dirancang dengan perlindungan yang sangat kuat terhadap analisis dan proses debugging.
Malware ini menggunakan rutinitas dekripsi muatan (payload) yang bergantung pada lingkungan spesifik, sehingga proses tersebut akan gagal jika dijalankan di dalam lingkungan sandbox atau laboratorium peneliti.
Beberapa fitur teknis utama TCLBanker meliputi:
1. DLL Side-Loading.
Malware dimuat di dalam konteks aplikasi Logitech yang asli, sehingga tidak memicu alarm dari produk keamanan yang melindungi inang (host).
2. Watchdog Anti-Analisis.
Menjalankan utas pemantau secara terus-menerus untuk mencari dan mematikan alat analisis seperti x64dbg, IDA, Ghidra, dan ProcessHacker.
3. Pemantauan UI Automation.
Menggunakan API Windows UI Automation untuk memantau bilah alamat peramban setiap detik, menunggu hingga korban membuka salah satu dari 59 situs web platform yang ditargetkan.
4. Kontrol Jarak Jauh Penuh.
Begitu korban mengakses situs perbankan, operator malware dapat melakukan:
- Streaming layar langsung.
- Pencatatan ketukan papan ketik (keylogging).
- Pembajakan papan klip (clipboard).
- Hingga kontrol penuh atas mouse dan keyboard.
Untuk mendukung pencurian data, TCLBanker menggunakan sistem hamparan (overlay) berbasis WPF yang sangat meyakinkan.
Sistem ini dapat memunculkan permintaan kredensial palsu, tombol PIN, hingga layar “Pembaruan Windows” palsu untuk menutupi aktivitas pencurian yang sedang berlangsung.
Penyebaran Otomatis via WhatsApp dan Outlook
Hal yang membuat TCLBanker sangat berbahaya adalah kemampuannya untuk menyebar secara mandiri melalui kontak milik korban utama. Malware ini menyertakan modul worm yang bekerja secara otomatis:
- Worm WhatsApp: Malware mencari data WhatsApp Web IndexedDB pada profil peramban Chromium. Kemudian, ia meluncurkan instansi peramban tersembunyi untuk membajak akun WhatsApp korban, memanen kontak, dan mengirimkan pesan spam berisi tautan distribusi TCLBanker.
- Worm Outlook: Menggunakan otomatisasi COM untuk menyalahgunakan Microsoft Outlook. Malware ini akan mengambil daftar kontak dan alamat pengirim, lalu mengirimkan email phishing melalui akun email asli milik korban.
|
Baca juga: Curi Webcam Bikin Zoom Palsu |
Mitigasi Keamanan
TCLBanker adalah contoh nyata bagaimana alat serangan tingkat tinggi kini tersedia bagi pelaku kejahatan siber kelas menengah. Berikut adalah langkah mitigasi yang harus segera diambil:
- Pastikan Anda mengunduh aplikasi seperti Logitech hanya dari situs web resmi vendor. Hindari mengunduh penginstal MSI dari tautan iklan, hasil pencarian bersponsor, atau situs pihak ketiga.
- Terapkan solusi keamanan yang mampu mendeteksi teknik side-loading dan memantau penggunaan API otomatisasi UI yang tidak lazim.
- Meskipun pesan berasal dari kontak yang Anda kenal di WhatsApp atau Outlook, tetaplah skeptis jika mereka mengirimkan tautan unduhan perangkat lunak secara tiba-tiba. Lakukan verifikasi melalui saluran komunikasi lain.
- Gunakan MFA yang kuat (seperti kunci keamanan fisik atau aplikasi autentikator) untuk semua akun perbankan dan email guna mencegah akses ilegal meskipun kredensial Anda telah dicuri.
- Jika Task Manager Anda tiba-tiba tertutup sendiri atau tidak bisa dibuka saat Anda mengakses situs bank, segera putuskan koneksi internet dan lakukan pemindaian sistem secara menyeluruh.
- Solusi dari ESET dapat membantu mendeteksi keberadaan trojan perbankan dan aktivitas modul worm sebelum mereka sempat menyebarkan infeksi ke kontak Anda.
Pengembangan Malware & Malicious AI
Munculnya TCLBanker memberikan indikasi kuat bahwa kecerdasan buatan (AI) mulai digunakan untuk membantu pengembangan kode malware, terutama dalam pembuatan loader yang kaya fitur namun tetap efisien.
Di tahun 2026, serangan siber tidak lagi hanya soal mencuri data secara diam-diam, tetapi juga soal bagaimana infeksi tersebut dapat melipatgandakan dirinya melalui kepercayaan sosial di platform komunikasi.
Kewaspadaan terhadap integritas perangkat lunak yang kita instal adalah pertahanan pertama yang paling krusial.
Sumber berita:
