
Image credit: Freepix
Hati-Hati! Situs WordPress Jadi Sarang Infostealer – Sebuah kelompok peretas yang berorientasi pada keuntungan finansial, diberi kode nama UNC5142 melakukan aksi berbahaya.
terdeteksi menyalahgunakan smart contract (kontrak pintar) blockchain untuk mendistribusikan malware pencuri informasi (infostealers).
Serangan ini menargetkan sistem operasi Windows dan Apple macOS, dengan malware populer seperti Atomic (AMOS), Lumma, Rhadamanthys (RADTHIEF), dan Vidar.
Teknik canggih ini menunjukkan bagaimana penjahat siber terus berinovasi, memanfaatkan teknologi baru untuk menghindari deteksi.
EtherHiding dan WordPress yang Rentan
UNC5142 memiliki ciri khas dalam melakukan operasinya:
- Situs WordPress yang Diretas: Mereka secara membabi buta menargetkan sekitar 14.000 situs web WordPress yang memiliki celah keamanan (vulnerable). Situs-situs ini kemudian disuntik dengan kode JavaScript berbahaya.
- EtherHiding: Ini adalah teknik cerdik yang digunakan untuk menyembunyikan kode atau data berbahaya dengan menempatkannya di blockchain publik, seperti BNB Smart Chain (BSC).
Dengan menyimpan komponen malware di smart contract blockchain yang terdesentralisasi, peretas membuat lokasi malware jauh lebih tahan banting terhadap upaya pemblokiran atau penghapusan (takedown) oleh pihak keamanan tradisional.
Baca juga: Tiga Raksasa Ransomware Bersatu Bentuk Kartel Baru |
Apa itu Smart Contract dalam Konteks Ini?
Dalam konteks blockchain, smart contract adalah program kode yang tersimpan di blockchain dan berjalan otomatis saat kondisi tertentu terpenuhi.
UNC5142 memanfaatkan sifat tidak dapat diubah (immutable) dari kode program smart contract (setelah di-deploy) dan sifat dapat diubah (mutable) dari data di dalamnya.
Hal ini memungkinkan peretas untuk memperbarui URL atau kunci dekripsi malware tanpa perlu mengubah kode JavaScript di ribuan situs WordPress yang telah mereka retas. Ini membuat operasi mereka sangat gesit dan tangguh.
Rantai Infeksi Multi-Tahap dengan CLEARSHORT
Serangan ini mengandalkan JavaScript downloader bertahap yang disebut CLEARSHORT, yang dinilai sebagai varian dari framework malware ClearFake.
Rantai infeksi bekerja seperti ini:
- Tahap 1 (Situs WordPress): Situs WordPress yang diretas disuntik dengan JavaScript CLEARSHORT tahap pertama.
- Tahap 2 (Blockchain): JavaScript ini berinteraksi dengan smart contract berbahaya di BNB Smart Chain untuk mengambil payload tahap kedua.
- Tahap 3 (Landing Page): Smart contract kemudian mengambil landing page CLEARSHORT (biasanya di-hosting di layanan seperti Cloudflare .dev) yang disajikan kepada korban.
- Tahap 4 (Social Engineering): Landing page ini menggunakan taktik rekayasa sosial (social engineering) yang disebut ClickFix.
Menipu Korban Agar Menjalankan Perintah
ClickFix adalah teknik penipuan yang sangat populer. Ia memancing korban dengan menampilkan pesan palsu yang menyatakan ada masalah teknis.
Misalnya meminta update browser—dan kemudian menginstruksikan pengguna untuk melakukan “perbaikan cepat” dengan:
- Menekan Windows Key + R (untuk membuka dialog Run di Windows).
- Menyalin dan menempel (copy-paste) perintah berbahaya yang telah disiapkan sebelumnya oleh landing page.
Dengan cara ini, korban secara tidak sadar menjalankan malware sendiri di sistem mereka melalui alat sistem yang sah (Run dialog atau Terminal di Mac), melewati banyak pertahanan keamanan berbasis browser dan sistem otomatis.
Eksekusi Malware di Windows dan macOS
- Sistem Windows: Perintah jahat akan mengeksekusi file HTML Application (HTA) dari URL eksternal (misalnya, MediaFire). File HTA ini akan menjalankan skrip PowerShell untuk menghindari pertahanan dan mengambil malware pencuri informasi yang dienkripsi (dari GitHub atau infrastruktur peretas) dan menjalankannya langsung di memori tanpa meninggalkan file di disk, membuatnya lebih sulit dideteksi.
- Sistem macOS: Serangan menggunakan ClickFix untuk memicu pengguna menjalankan perintah bash di Terminal yang mengambil shell script. Script ini kemudian mengunduh payload Atomic Stealer dari server jarak jauh.
Baca juga: Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker |
Mengapa Blockchain Menjadi Pilihan Peretas?
Penyalahgunaan blockchain memberikan keuntungan besar bagi UNC5142:
- Ketahanan Operasi: Kode yang disimpan di blockchain bersifat publik dan permanen, sehingga tidak bisa dihapus atau di-takedown dengan mudah oleh otoritas keamanan. Malware akan tetap dapat diakses selama blockchain beroperasi.
- Pembaruan Cepat: Dengan arsitektur smart contract yang canggih (seringkali menggunakan pola Router-Logic-Storage), peretas dapat memperbarui URL payload atau kunci dekripsi dengan cepat hanya dengan mengubah data di smart contract, hanya menghabiskan sedikit biaya (fee jaringan).
- Menghindari Deteksi: Aktivitas EtherHiding berbaur dengan lalu lintas Web3 yang sah dan memanfaatkan panggilan read-only ke smart contract yang tidak meninggalkan riwayat transaksi yang terlihat, membuat pelacakan dan deteksi menjadi lebih sulit.
Dengan frekuensi pembaruan rantai infeksi yang konsisten dan volume situs yang terkompromi, diperkirakan UNC5142 telah mencapai tingkat keberhasilan yang signifikan dalam operasi mereka.
Lindungi Diri Anda
Untuk melindungi diri dari taktik serangan canggih seperti UNC5142, Anda perlu menerapkan keamanan berlapis dan kewaspadaan tinggi:
- Jangan Pernah Menjalankan Perintah Asing: Jika sebuah situs web meminta Anda untuk menyalin (copy), menempel (paste), atau menjalankan perintah di dialog Run atau Terminal/PowerShell, segera curigai dan jangan pernah melakukannya! Browser Anda tidak akan meminta Anda melakukan perbaikan sistem seperti itu.
- Update Situs Web dan Software Anda: Bagi pengelola situs WordPress, pastikan Anda selalu memperbarui WordPress, tema, dan plugin ke versi terbaru untuk menutup celah keamanan yang dieksploitasi oleh peretas.
- Instal Solusi Keamanan: Gunakan perangkat lunak antivirus/antimalware yang andal dan selalu perbarui sistem operasi (Windows/macOS) Anda secara teratur.
- Gunakan Multi-Factor Authentication (MFA): Aktifkan MFA pada semua akun penting Anda (terutama email dan banking) untuk mencegah pencurian kredensial oleh infostealer.
- Berhati-hati dengan Peringatan Palsu: Abaikan pop-up yang secara tiba-tiba muncul dan mengklaim browser Anda perlu diperbaiki atau di-update. Selalu update browser Anda melalui menu resmi browser itu sendiri.
Sumber berita: