Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • Hati-Hati! Situs WordPress Jadi Sarang Infostealer
  • Sektor Bisnis
  • Sektor Personal

Hati-Hati! Situs WordPress Jadi Sarang Infostealer

4 min read
Hati-Hati! Situs WordPress Jadi Sarang Infostealer

Image credit: Freepix

Hati-Hati! Situs WordPress Jadi Sarang Infostealer – Sebuah kelompok peretas yang berorientasi pada keuntungan finansial, diberi kode nama UNC5142 melakukan aksi berbahaya.

terdeteksi menyalahgunakan smart contract (kontrak pintar) blockchain untuk mendistribusikan malware pencuri informasi (infostealers).

Serangan ini menargetkan sistem operasi Windows dan Apple macOS, dengan malware populer seperti Atomic (AMOS), Lumma, Rhadamanthys (RADTHIEF), dan Vidar.

Teknik canggih ini menunjukkan bagaimana penjahat siber terus berinovasi, memanfaatkan teknologi baru untuk menghindari deteksi.

EtherHiding dan WordPress yang Rentan

UNC5142 memiliki ciri khas dalam melakukan operasinya:

  1. Situs WordPress yang Diretas: Mereka secara membabi buta menargetkan sekitar 14.000 situs web WordPress yang memiliki celah keamanan (vulnerable). Situs-situs ini kemudian disuntik dengan kode JavaScript berbahaya.
  2. EtherHiding: Ini adalah teknik cerdik yang digunakan untuk menyembunyikan kode atau data berbahaya dengan menempatkannya di blockchain publik, seperti BNB Smart Chain (BSC).

Dengan menyimpan komponen malware di smart contract blockchain yang terdesentralisasi, peretas membuat lokasi malware jauh lebih tahan banting terhadap upaya pemblokiran atau penghapusan (takedown) oleh pihak keamanan tradisional.

Baca juga: Tiga Raksasa Ransomware Bersatu Bentuk Kartel Baru

Apa itu Smart Contract dalam Konteks Ini?

Dalam konteks blockchain, smart contract adalah program kode yang tersimpan di blockchain dan berjalan otomatis saat kondisi tertentu terpenuhi.

UNC5142 memanfaatkan sifat tidak dapat diubah (immutable) dari kode program smart contract (setelah di-deploy) dan sifat dapat diubah (mutable) dari data di dalamnya.

Hal ini memungkinkan peretas untuk memperbarui URL atau kunci dekripsi malware tanpa perlu mengubah kode JavaScript di ribuan situs WordPress yang telah mereka retas. Ini membuat operasi mereka sangat gesit dan tangguh.

Rantai Infeksi Multi-Tahap dengan CLEARSHORT

Serangan ini mengandalkan JavaScript downloader bertahap yang disebut CLEARSHORT, yang dinilai sebagai varian dari framework malware ClearFake.

Rantai infeksi bekerja seperti ini:

  1. Tahap 1 (Situs WordPress): Situs WordPress yang diretas disuntik dengan JavaScript CLEARSHORT tahap pertama.
  2. Tahap 2 (Blockchain): JavaScript ini berinteraksi dengan smart contract berbahaya di BNB Smart Chain untuk mengambil payload tahap kedua.
  3. Tahap 3 (Landing Page): Smart contract kemudian mengambil landing page CLEARSHORT (biasanya di-hosting di layanan seperti Cloudflare .dev) yang disajikan kepada korban.
  4. Tahap 4 (Social Engineering): Landing page ini menggunakan taktik rekayasa sosial (social engineering) yang disebut ClickFix.

Menipu Korban Agar Menjalankan Perintah

ClickFix adalah teknik penipuan yang sangat populer. Ia memancing korban dengan menampilkan pesan palsu yang menyatakan ada masalah teknis.

Misalnya meminta update browser—dan kemudian menginstruksikan pengguna untuk melakukan “perbaikan cepat” dengan:

  • Menekan Windows Key + R (untuk membuka dialog Run di Windows).
  • Menyalin dan menempel (copy-paste) perintah berbahaya yang telah disiapkan sebelumnya oleh landing page.

Dengan cara ini, korban secara tidak sadar menjalankan malware sendiri di sistem mereka melalui alat sistem yang sah (Run dialog atau Terminal di Mac), melewati banyak pertahanan keamanan berbasis browser dan sistem otomatis.

Eksekusi Malware di Windows dan macOS

  • Sistem Windows: Perintah jahat akan mengeksekusi file HTML Application (HTA) dari URL eksternal (misalnya, MediaFire). File HTA ini akan menjalankan skrip PowerShell untuk menghindari pertahanan dan mengambil malware pencuri informasi yang dienkripsi (dari GitHub atau infrastruktur peretas) dan menjalankannya langsung di memori tanpa meninggalkan file di disk, membuatnya lebih sulit dideteksi.
  • Sistem macOS: Serangan menggunakan ClickFix untuk memicu pengguna menjalankan perintah bash di Terminal yang mengambil shell script. Script ini kemudian mengunduh payload Atomic Stealer dari server jarak jauh.

Baca juga: Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker

Mengapa Blockchain Menjadi Pilihan Peretas?

Penyalahgunaan blockchain memberikan keuntungan besar bagi UNC5142:

  • Ketahanan Operasi: Kode yang disimpan di blockchain bersifat publik dan permanen, sehingga tidak bisa dihapus atau di-takedown dengan mudah oleh otoritas keamanan. Malware akan tetap dapat diakses selama blockchain beroperasi.
  • Pembaruan Cepat: Dengan arsitektur smart contract yang canggih (seringkali menggunakan pola Router-Logic-Storage), peretas dapat memperbarui URL payload atau kunci dekripsi dengan cepat hanya dengan mengubah data di smart contract, hanya menghabiskan sedikit biaya (fee jaringan).
  • Menghindari Deteksi: Aktivitas EtherHiding berbaur dengan lalu lintas Web3 yang sah dan memanfaatkan panggilan read-only ke smart contract yang tidak meninggalkan riwayat transaksi yang terlihat, membuat pelacakan dan deteksi menjadi lebih sulit.

Dengan frekuensi pembaruan rantai infeksi yang konsisten dan volume situs yang terkompromi, diperkirakan UNC5142 telah mencapai tingkat keberhasilan yang signifikan dalam operasi mereka.

Lindungi Diri Anda

Untuk melindungi diri dari taktik serangan canggih seperti UNC5142, Anda perlu menerapkan keamanan berlapis dan kewaspadaan tinggi:

  1. Jangan Pernah Menjalankan Perintah Asing: Jika sebuah situs web meminta Anda untuk menyalin (copy), menempel (paste), atau menjalankan perintah di dialog Run atau Terminal/PowerShell, segera curigai dan jangan pernah melakukannya! Browser Anda tidak akan meminta Anda melakukan perbaikan sistem seperti itu.
  2. Update Situs Web dan Software Anda: Bagi pengelola situs WordPress, pastikan Anda selalu memperbarui WordPress, tema, dan plugin ke versi terbaru untuk menutup celah keamanan yang dieksploitasi oleh peretas.
  3. Instal Solusi Keamanan: Gunakan perangkat lunak antivirus/antimalware yang andal dan selalu perbarui sistem operasi (Windows/macOS) Anda secara teratur.
  4. Gunakan Multi-Factor Authentication (MFA): Aktifkan MFA pada semua akun penting Anda (terutama email dan banking) untuk mencegah pencurian kredensial oleh infostealer.
  5. Berhati-hati dengan Peringatan Palsu: Abaikan pop-up yang secara tiba-tiba muncul dan mengklaim browser Anda perlu diperbaiki atau di-update. Selalu update browser Anda melalui menu resmi browser itu sendiri.

 

 

 

 

Baca artikel lainnya: 

  • Spyware Android Baru Menyamar Jadi WhatsApp dan TikTok
  • Taktik Canggih Peretas Mencuri Data Rahasia Lewat Asisten Coding AI
  • Varian Baru Chaos Enkripsi Selektif & Penghancuran Data
  • Penipuan Pajak via iMessage Kini Tak Terblokir dan Sulit Dilaporkan
  • Hidden Text Salting
  • Modus Baru Peretas Memanfaatkan CSS untuk Lolos dari Filter Email
  • Keamanan Siber Bukan Sekadar Biaya
  • Penipuan PayPal Terkini
  • Peretas Kini Serang Lewat Obrolan dan Kode QR
  • Pentingnya Layanan IT Terkelola dan Peran AI

 

 

 

Sumber berita:

 

Prosperita IT News

Post navigation

Previous Membongkar Cara Kerja Peretasan Psikologis

Related Stories

Membongkar Cara Kerja Peretasan Psikologis Membongkar Cara Kerja Peretasan Psikologis
3 min read
  • Sektor Personal
  • Tips & Tricks

Membongkar Cara Kerja Peretasan Psikologis

October 20, 2025
Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas
3 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas

October 17, 2025
Infrastruktur Dunia Terancam Kerentanan Sixnet RTU Infrastruktur Dunia Terancam Kerentanan Sixnet RTU
3 min read
  • Sektor Bisnis
  • Teknologi

Infrastruktur Dunia Terancam Kerentanan Sixnet RTU

October 17, 2025

Recent Posts

  • Hati-Hati! Situs WordPress Jadi Sarang Infostealer
  • Membongkar Cara Kerja Peretasan Psikologis
  • Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas
  • Infrastruktur Dunia Terancam Kerentanan Sixnet RTU
  • Bahaya Memotong Anggaran Keamanan Siber
  • Segera Update Google Chrome untuk Hindari Serangan Peretas
  • Aplikasi Tanpa Izin Bisa Curi Isi Layar Ponsel Android
  • TigerJack Target Baru Curi Kripto
  • Grokking Saat AI Sebarkan Tautan Phising
  • Worm Canggih Curi Data Bank dari WhatsApp

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Hati-Hati! Situs WordPress Jadi Sarang Infostealer Hati-Hati! Situs WordPress Jadi Sarang Infostealer
4 min read
  • Sektor Bisnis
  • Sektor Personal

Hati-Hati! Situs WordPress Jadi Sarang Infostealer

October 20, 2025
Membongkar Cara Kerja Peretasan Psikologis Membongkar Cara Kerja Peretasan Psikologis
3 min read
  • Sektor Personal
  • Tips & Tricks

Membongkar Cara Kerja Peretasan Psikologis

October 20, 2025
Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas
3 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas

October 17, 2025
Infrastruktur Dunia Terancam Kerentanan Sixnet RTU Infrastruktur Dunia Terancam Kerentanan Sixnet RTU
3 min read
  • Sektor Bisnis
  • Teknologi

Infrastruktur Dunia Terancam Kerentanan Sixnet RTU

October 17, 2025

Copyright © All rights reserved. | DarkNews by AF themes.