Jebakan Palsu 7-Zip Palsu

Jebakan Palsu 7-Zip Palsu – Dunia keamanan siber kembali dikejutkan oleh taktik penipuan yang sangat rapi dan menargetkan pengguna komputer umum.

Baru-baru ini, ditemukan sebuah kampanye berbahaya yang menggunakan situs web palsu untuk mendistribusikan perangkat lunak pengarsipan populer, 7-Zip.

Alih-alih mendapatkan alat gratis yang bermanfaat, pengguna justru tanpa sadar mengubah komputer mereka menjadi “budak” dalam jaringan residential proxy global yang digunakan untuk berbagai aktivitas ilegal.

Metode ini menunjukkan evolusi serangan siber yang tidak lagi hanya mencuri data atau mengunci file (ransomware), tetapi “menyewa” secara paksa sumber daya koneksi internet korban untuk kepentingan kriminal.

Manipulasi Domain dan Penyamaran Sempurna

Aksi ini dimulai dengan pendaftaran nama domain yang sangat meyakinkan, yaitu 7zip[.]com. Bagi pengguna awam, nama ini terlihat lebih kredibel dibandingkan situs resminya yang asli, yaitu 7-zip.org.

Penyerang sengaja menyalin seluruh teks, struktur, dan desain dari situs asli agar korban tidak merasa curiga saat mendarat di halaman tersebut.

Laporan bermula ketika seorang pengguna mengunduh penginstal (installer) setelah mengikuti instruksi dari sebuah tutorial di YouTube mengenai cara merakit sistem PC.

Ini menyoroti tren berbahaya di mana penjahat siber memanfaatkan platform video populer untuk menyebarkan tautan berbahaya melalui deskripsi video atau komentar yang dipromosikan.

Lebih dari Sekadar Pengarsipan

Meskipun program 7-Zip yang diunduh tetap berfungsi sebagaimana mestinya, di balik layar, penginstal tersebut menyisipkan tiga file berbahaya ke dalam direktori sistem C:\Windows\SysWOW64\hero\. File-file tersebut meliputi:

Uphero.exe: Bertugas sebagai pengelola layanan dan pemuat pembaruan (update loader).
hero.exe: Muatan utama (payload) yang menjalankan fungsi proxy.
hero.dll: Pustaka pendukung untuk kelancaran operasi malware.

Untuk memastikan malware ini tetap berjalan, penyerang membuat layanan Windows otomatis yang berjalan dengan hak akses SYSTEM tingkat izin tertinggi dalam sistem operasi.

Selain itu, mereka memodifikasi aturan firewall menggunakan perintah netsh guna mengizinkan koneksi masuk dan keluar tanpa hambatan.

Jebakan Palsu 7-Zip Palsu - Dunia keamanan siber kembali dikejutkan oleh taktik penipuan yang sangat rapi dan menargetkan pengguna komputer umum. — Image credit: Freepix

Residential Proxyware

Analisis mendalam oleh para peneliti mengungkapkan bahwa fungsi utama malware ini adalah Proxyware. Komputer korban yang terinfeksi akan didaftarkan sebagai simpul (node) dalam jaringan residential proxy.

Hal ini memungkinkan pihak ketiga (penjahat siber lain) untuk menyalurkan lalu lintas internet mereka melalui alamat IP korban.

Penggunaan alamat IP perumahan milik warga sipil sangat berharga bagi kriminal siber karena:

Menghindari Pemblokiran: Alamat IP perumahan jarang masuk dalam daftar hitam (blacklist) dibandingkan alamat IP pusat data.
Aktivitas Kriminal Anonim: Penyerang dapat melakukan serangan credential stuffing (mencoba ribuan kata sandi), phishing, atau distribusi malware seolah-olah aktivitas tersebut berasal dari rumah pengguna biasa.
Enkripsi dan Kamuflase: Malware ini menggunakan protokol komunikasi berbasis XOR yang dikaburkan dan memanfaatkan infrastruktur Cloudflare serta enkripsi TLS untuk menyembunyikan lalu lintasnya dari pemantauan keamanan jaringan standar.

Kampanye Skala Besar dan Teknik Evasif

Penelitian lebih lanjut menemukan bahwa umpan 7-Zip hanyalah puncak gunung es. Kelompok ini juga menggunakan penginstal palsu untuk aplikasi populer lainnya seperti WhatsApp, TikTok, HolaVPN, dan Wire VPN.

Untuk menghindari analisis oleh pakar keamanan, malware ini memiliki kemampuan untuk mendeteksi apakah ia sedang dijalankan di dalam lingkungan virtual (virtual machine) seperti VMware, VirtualBox, QEMU, atau Parallels.

Jika ia mendeteksi adanya perangkat analisis atau debugger, malware akan berhenti beroperasi atau mengubah perilakunya agar tidak terdeteksi.

Selain itu, ia menggunakan DNS-over-HTTPS (DoH) melalui resolver Google. Teknik ini membungkus permintaan DNS dalam lalu lintas HTTPS yang terenkripsi.

Sehingga administrator jaringan tidak dapat melihat domain berbahaya mana yang sedang dihubungi oleh komputer yang terinfeksi.

Baca juga: Taktik 48 Menit Melawan Hacker

Relevansi bagi Keamanan Siber di Indonesia

Kasus ini memiliki relevansi yang sangat tinggi bagi pengguna internet di Indonesia, mengingat beberapa faktor berikut:

Budaya Unduh Perangkat Lunak Gratis Masyarakat Indonesia sangat gemar mencari perangkat lunak gratis melalui mesin pencari. Penjahat siber sering memanfaatkan kata kunci populer di Indonesia untuk menempatkan situs palsu mereka di peringkat atas mesin pencari melalui iklan berbayar atau teknik SEO yang agresif.
Ketergantungan pada Tutorial Video Banyak pengguna di Indonesia, mulai dari pelajar hingga teknisi komputer pemula, mengandalkan tutorial YouTube untuk menginstal aplikasi. Kurangnya kewaspadaan dalam memeriksa keaslian tautan di kolom deskripsi membuat ribuan perangkat di Indonesia rentan menjadi bagian dari jaringan proxy ilegal ini.
Risiko Hukum bagi Pemilik IP Ini adalah dampak yang paling mengerikan. Jika IP rumah seorang warga di Indonesia digunakan oleh penjahat siber internasional untuk melakukan serangan ke situs pemerintah atau transaksi perbankan ilegal, maka pemilik asli koneksi internet tersebutlah yang akan terlacak oleh otoritas penegak hukum. Korban bisa terseret kasus hukum atas aktivitas yang tidak pernah mereka lakukan.

Langkah Mitigasi dan Pencegahan

Para peneliti menyarankan beberapa langkah pencegahan yang sangat ketat untuk menghindari infeksi ini:

Selalu unduh perangkat lunak langsung dari situs pengembang aslinya. Perhatikan detail kecil pada URL (misalnya, perbedaan antara .org dan .com).
Hindari mengklik tautan unduhan yang disediakan di deskripsi video YouTube atau platform media sosial.
Simpan alamat situs web resmi dari perangkat lunak yang sering Anda gunakan di bookmark peramban Anda.
Penginstal yang sah biasanya memiliki tanda tangan digital yang valid dan tidak dicabut. Jika sistem operasi memberikan peringatan tentang pengembang yang tidak dikenal, segera hentikan instalasi.
Perhatikan jika ada aplikasi tidak dikenal yang meminta izin untuk melewati firewall atau membuat layanan baru di latar belakang.

Kampanye “7zip[.]com” adalah pengingat bahwa ancaman siber tidak selalu berupa pencurian data secara langsung.

Dengan mengubah perangkat pengguna menjadi simpul proxy, penjahat siber membangun infrastruktur yang kuat untuk melancarkan serangan global sambil bersembunyi di balik identitas orang lain.

Kewaspadaan digital dan verifikasi sumber informasi kini bukan lagi pilihan, melainkan keharusan untuk melindungi diri dari penyalahgunaan sumber daya siber secara ilegal.

Baca artikel lainnya: