Image credit: Freepix
DeepLoad Malware AI Nir-Lelah – Di tahun 2026, garis pertahanan siber tidak lagi hanya berhadapan dengan kode statis yang mudah dikenali oleh tanda tangan (signature).
Peneliti baru-baru ini mengungkap kemunculan galur (strain) malware baru yang sangat agresif, yang diberi nama DeepLoad.
Malware ini bukan sekadar alat pencuri data biasa, ia adalah kombinasi dari teknik rekayasa sosial tingkat tinggi, penggunaan kode yang dihasilkan oleh Kecerdasan Buatan (AI), dan mekanisme persistensi yang membuatnya seolah-olah “menolak untuk mati.”
DeepLoad dirancang dengan satu filosofi utama, pencurian secepat kilat. Berbeda dengan malware tradisional yang mungkin menunggu instruksi dari server pengendali (C2) sebelum beraksi.
DeepLoad mulai memanen kredensial baik kata sandi yang tersimpan di browser maupun ketikan keyboard secara real-time tepat pada saat ia berhasil masuk ke dalam jaringan korban.
Jebakan ClickFix yang Mematikan
DeepLoad memanfaatkan teknik rekayasa sosial, teknik ini memanipulasi psikologi pengguna dengan menampilkan pesan kesalahan (error) palsu pada browser.
Rantai serangan biasanya dimulai sebagai berikut:
- Pengguna menerima perintah untuk menjalankan instruksi terminal atau PowerShell yang diklaim akan “memperbaiki” kesalahan teknis yang muncul.
- Begitu perintah dijalankan, sistem secara otomatis membuat scheduled task untuk menjalankan pemuat (loader) malware.
- Malware kemudian menggunakan utilitas sah Windows, mshta.exe, untuk berkomunikasi dengan infrastruktur penyerang dan mengunduh pemuat PowerShell yang sangat tersembunyi (obfuscated).
Peneliti menekankan bahwa teknik ini sangat efektif terhadap karyawan perusahaan dan pengembang perangkat lunak karena meniru pola instalasi alat pengembangan yang sah, seperti yang kita lihat pada serangan terhadap pengguna alat AI baru-baru ini.
|
Baca juga: Serangan Kredensial Disukai Peretas |
Kode Buatan AI dan Teknik Evasio
Salah satu temuan paling mengejutkan dari para peneliti adalah struktur kode pada pemuat DeepLoad. Kode fungsionalnya terkubur di bawah ribuan baris “junk code” atau kode sampah.
- Pemuat yang Sangat Tebal: Volume kode sampah yang sangat besar ini bertujuan untuk membanjiri alat pemindaian statis (static scanning) hingga tidak mampu mendeteksi logika jahat di dalamnya. Peneliti meyakini bahwa kode ini tidak ditulis oleh manusia, melainkan dihasilkan oleh model AI untuk menciptakan lapisan kebingungan yang unik bagi setiap target.
- Injeksi Proses LockAppHost.exe: Setelah berhasil didekripsi di memori, payload jahat disuntikkan ke dalam LockAppHost.exe. Ini adalah proses sah Windows yang mengelola layar kunci (lock screen), sebuah target yang cerdik karena jarang dipantau secara aktif oleh alat keamanan konvensional.
- Kompilasi DLL Acak: DeepLoad menggunakan fitur PowerShell Add-Type untuk membuat file DLL sementara di direktori Temp. Menariknya, malware ini mengompilasi ulang DLL tersebut setiap kali dijalankan dengan nama file acak, memastikan bahwa pemindaian berbasis nama file tidak akan pernah menemukan kecocokan.
Pencurian Data di Dua Lini
DeepLoad bekerja melalui dua komponen utama yang berjalan secara paralel untuk memastikan data tetap tercuri meskipun sebagian serangan berhasil diblokir:
- Stealer Mandiri (filemanager.exe): Ini adalah program pencuri kredensial yang berjalan di atas infrastrukturnya sendiri. Bahkan jika pemuat utama terdeteksi oleh antivirus, filemanager.exe mungkin sudah selesai mengirimkan data kata sandi yang tersimpan ke server penyerang.
- Ekstensi Browser Jahat: DeepLoad menjatuhkan dan mendaftarkan ekstensi browser yang mampu menangkap kredensial secara real-time saat pengguna mengetiknya (keylogging). Ekstensi ini akan terus ada di setiap sesi browser sampai dihapus secara manual.
Persistensi “Hantu” melalui WMI
Hal yang paling menyulitkan tim respons insiden dalam menangani DeepLoad adalah kegigihannya. Pembersihan standar seperti menghapus scheduled tasks atau file sementara tidaklah cukup.
Peneliti menemukan bahwa DeepLoad menciptakan pemicu persisten di dalam Windows Management Instrumentation (WMI). Mekanisme ini memungkinkan serangan untuk berjalan kembali secara otomatis tanpa interaksi pengguna lebih lanjut.
Dalam satu insiden yang diselidiki, peneliti mengamati malware yang mengeksekusi kembali serangannya secara penuh tiga hari setelah host tersebut dianggap telah “bersih” oleh tim IT.
|
Baca juga: SIM Farm Industri Pencurian Kredensial |
Penyebaran Lateral via USB
Selain beroperasi di dalam jaringan, DeepLoad juga memiliki kemampuan untuk menyebar ke perangkat penyimpanan USB yang terhubung.
Dalam waktu kurang dari 10 menit setelah infeksi awal, peneliti menemukan malware ini menulis lebih dari 40 file yang menyamar sebagai:
- Pemasang Google Chrome.
- Pemasang Firefox.
- Pintasan (shortcut) AnyDesk.
- Pemasang perangkat lunak populer lainnya.
Tujuannya adalah untuk memaksimalkan peluang pengguna lain mengeklik salah satu penginstal palsu tersebut di mesin yang berbeda, sehingga memperluas jangkauan infeksi.
Strategi Remediasi dan Pertahanan
Berdasarkan temuan peneliti, organisasi tidak boleh meremehkan infeksi DeepLoad. Berikut adalah langkah-langkah pertahanan yang direkomendasikan:
Langkah Mitigasi Teknis
- Audit WMI: Lakukan audit dan hapus langganan acara (event subscriptions) WMI pada host yang terdampak sebelum mengembalikannya ke jaringan produksi.
- Logging PowerShell: Aktifkan PowerShell Script Block Logging untuk memantau aktivitas skrip di tingkat blok kode, karena pemindaian berbasis file tidak akan efektif.
- Pemantauan Perilaku: Gunakan pemantauan titik akhir (endpoint) berbasis perilaku untuk mencari aktivitas injeksi proses yang tidak biasa, terutama pada proses sistem seperti LockAppHost.exe.
Protokol Pemulihan Pasca-Insiden
- Reset Kredensial Total: Ganti semua kata sandi yang terkait dengan sistem yang terkompromi, termasuk akun yang digunakan selama periode infeksi.
- Hapus Sesi Aktif: Batalkan semua token sesi aktif untuk mencegah penyerang menggunakan cookie yang telah dicuri.
- Pembersihan Browser: Periksa secara manual daftar ekstensi di setiap browser yang digunakan dan hapus ekstensi yang tidak dikenal.
Tantangan Baru Keamanan Identitas
Munculnya DeepLoad menandakan bahwa identitas kini menjadi perimeter baru yang paling rentan. Penggunaan AI untuk menyesuaikan kode berbahaya dengan lingkungan spesifik target berarti deteksi berbasis perilaku akan menjadi semakin sulit di masa depan.
Perusahaan harus bergeser dari sekadar pemindaian file menuju pemantauan identitas yang berkelanjutan dan respons insiden yang jauh lebih mendalam daripada sekadar menghapus indikator kompromi (IoC) yang tampak di permukaan.
Sumber berita:
