Operasi Besar Malware di 2025

Sejak dimulainya tahun ini, telah terjadi begitu banyak serangan malware di seluruh dunia. Oleh karena itu, dalam kesempatan ini kita akan membahas mengenai operasi besar malware di 2025.

Awal tahun 2025 telah menjadi medan pertempuran di dunia keamanan siber. Para penjahat siber terus meluncurkan operasi baru yang agresif dan menyempurnakan metode serangan mereka.

Berikut ini adalah ikhtisar dari lima keluarga malware terkenal, disertai dengan analisis yang singkat namun padat informasi, sebagai berikut.

NetSupport RAT Memanfaatkan Teknik ClickFix

Pada operasi besar malware di 2025, pelaku ancaman mulai memanfaatkan teknik yang dikenal sebagai ClickFix untuk mendistribusikan NetSupport Remote Access Trojan (RAT).

Metode ini melibatkan penyuntikan halaman CAPTCHA palsu ke situs web yang disusupi, yang mendorong pengguna untuk menjalankan perintah PowerShell berbahaya yang mengunduh dan menjalankan NetSupport RAT.

Setelah dipasang, RAT ini memberi penyerang kendali penuh atas sistem korban, yang memungkinkan aktivitas seperti pemantauan layar waktu nyata, manipulasi file, dan pelaksanaan perintah sewenang-wenang.

Karakteristik teknis utama NetSupport RAT

• Penyerang dapat melihat dan mengendalikan layar korban secara waktu nyata.
• Mengunggah, mengunduh, mengubah, dan menghapus file pada sistem yang terinfeksi.
• Menjalankan perintah sistem dan skrip PowerShell dari jarak jauh.
• Menangkap teks yang disalin, termasuk kata sandi dan data sensitif.
• Merekam penekanan tombol pengguna untuk pencurian kredensial.
• Memulai, menghentikan, dan mengubah proses dan layanan sistem.
• Menginstal dirinya sendiri di folder startup, kunci registri, atau tugas terjadwal untuk bertahan dari boot ulang.
• Menggunakan injeksi proses dan pengaburan kode untuk menghindari deteksi.
• Mempertahankan koneksi tersembunyi dengan penyerang menggunakan lalu lintas terenkripsi.

Setelah menjalankan muatan NetSupport RAT di dalam Sandbox Interaktif ANY.RUN, kita dapat melihat beberapa aktivitas.

Ketika NetSupport RAT menginfeksi sistem, ia segera membuat koneksi dengan server perintah-dan-kontrol (C2), yang memungkinkan penyerang mengoperasikan mesin yang disusupi dari jarak jauh.

Melalui koneksi ini, penyerang dapat menjalankan perintah sistem, menyebarkan malware tambahan, dan mengubah pengaturan sistem.

NetSupport RAT menggunakan beberapa Taktik, Teknik, dan Prosedur (TTP) untuk mempertahankan persistensi, menghindari deteksi, dan mengumpulkan data sistem. TTP utama meliputi:

• Persistensi & Eksekusi: Mengubah kunci startup registri, menjalankan skrip melalui wscript.exe.
• Penemuan: Membaca nama komputer, memeriksa bahasa sistem, dan mengakses variabel lingkungan.
• Penghindaran Pertahanan & Komunikasi C2: Membuang eksekusi Windows yang sah, membuat objek koneksi internet untuk kendali jarak jauh.

Teknik-teknik ini menunjukkan bagaimana NetSupport RAT membangun kendali sambil menghindari deteksi.

Lynx Ransomware

Dalam operasi besar malware di 2025, kelompok Lynx Ransomware-as-a-Service (RaaS) dikenal sebagai entitas yang sangat terorganisasi, yang menawarkan program afiliasi terstruktur dan metode enkripsi yang kuat. Berdasarkan fondasi ransomware INC sebelumnya, Lynx telah meningkatkan kemampuannya dan memperluas jangkauannya, dengan menargetkan berbagai industri di berbagai negara.

Panel afiliasi Lynx memungkinkan afiliasinya untuk mengonfigurasi profil korban, membuat sampel ransomware khusus, dan mengelola jadwal kebocoran data dalam antarmuka yang mudah digunakan. Karena pendekatannya yang terstruktur, ia menjadi salah satu ransomware yang paling mudah diakses bahkan bagi mereka yang memiliki keahlian teknis terbatas.

Untuk memberi insentif bagi partisipasi, Lynx menawarkan afiliasinya bagian 80% dari hasil tebusan. Kelompok tersebut mengelola situs kebocoran tempat data yang dicuri dipublikasikan jika korban gagal membayar tebusan. Serangan besar Lynx di Q1#

Pada kuartal pertama tahun 2025, kelompok Lynx Ransomware-as-a-Service (RaaS) telah mengintensifkan operasinya, menargetkan berbagai industri dengan serangan canggih.

Khususnya, pada bulan Februari 2025, Lynx mengaku bertanggung jawab atas pelanggaran Brown and Hurley, dealer truk terkemuka di Australia. Kelompok tersebut menuduh pencurian sekitar 170 gigabyte data sensitif, termasuk dokumen sumber daya manusia, kontrak bisnis, informasi pelanggan, dan catatan keuangan.

Pada bulan Januari 2025, Lynx juga melanggar Hunter Taubman Fischer & Li LLC, sebuah firma hukum yang berbasis di AS yang mengkhususkan diri dalam hukum perusahaan dan sekuritas.

Karakteristik teknis utama ransomware Lynx

• Mengenkripsi semua file secara default, termasuk drive lokal, berbagi jaringan, dan media yang dapat dilepas.
• Dapat dikonfigurasi melalui RaaS untuk menargetkan jenis file, folder, atau ekstensi tertentu.
• Mencuri data sensitif sebelum enkripsi, mengekstraksi dokumen, kredensial, dan informasi keuangan.
• Mentransfer data yang dicuri melalui saluran terenkripsi, seperti HTTPS atau protokol komunikasi khusus.
• Menghapus Volume Shadow Copies dan menonaktifkan fitur pemulihan Windows untuk mencegah pemulihan.
• Menutup aplikasi yang dapat memblokir enkripsi menggunakan RestartManager.
• Memanfaatkan teknik pembuangan kredensial untuk mengekstrak kata sandi yang tersimpan dari browser, Windows Credential Manager, dan perangkat jaringan.
• Mempertahankan koneksi C2 dengan domain berbasis DGA dan lalu lintas anonim melalui Tor.
• Mendeteksi VM dan sandbox, mengubah perilaku untuk menghindari analisis.
• Berjalan dalam memori tanpa menulis file ke disk, menghindari deteksi.

Kita dapat mengamati perilaku Lynx Ransomware secara langsung dalam lingkungan yang terkendali. Dalam analisis sandbox ANY.RUN, setelah menjalankan payload Lynx, sistem yang terinfeksi mengalami beberapa perubahan yang nyata.

Latar belakang desktop diganti dengan pesan tebusan, dan penyerang meninggalkan catatan peringatan bahwa semua data telah dicuri dan dienkripsi. Korban diinstruksikan untuk mengunduh Tor untuk menghubungi mereka.

Sandbox juga mendeteksi bagaimana Lynx secara sistematis mengganti nama file, menambahkan ekstensinya.

Puluhan file di seluruh sistem dimodifikasi dengan cara ini, yang selanjutnya mengonfirmasi proses enkripsinya. Ini hanyalah beberapa dari sekian banyak tindakan destruktif yang dilakukan Lynx saat berada di dalam sistem yang disusupi. Modifikasi file oleh ransomware Lynx

AsyncRAT: Memanfaatkan Payload Python dan TryCloudflare Tunnels

Pada awal tahun 2025, peneliti keamanan siber mengungkap kampanye malware canggih yang menggunakan AsyncRAT, trojan akses jarak jauh yang dikenal karena kemampuan komunikasi asinkronnya yang efisien.

Kampanye ini menonjol karena penggunaan payload berbasis Python dan eksploitasi terowongan TryCloudflare untuk meningkatkan kerahasiaan dan persistensi.

Gambaran Umum Rantai Infeksi

Serangan dimulai dengan email phishing yang berisi URL Dropbox. Saat penerima mengeklik tautan, mereka mengunduh arsip ZIP yang berisi file pintasan internet (URL).

File ini, pada gilirannya, mengambil file pintasan Windows (LNK) melalui URL TryCloudflare. Menjalankan file LNK memicu serangkaian skrip, PowerShell, JavaScript, dan skrip batch, yang mengunduh dan menjalankan payload Python.

Payload ini bertanggung jawab untuk menyebarkan beberapa keluarga malware, termasuk AsyncRAT, Venom RAT, dan Xworm.

Karakteristik Teknis AsyncRAT

Memungkinkan penyerang untuk menjalankan perintah, memantau aktivitas pengguna, dan mengelola berkas pada sistem yang disusupi.

• Mampu mencuri informasi sensitif, termasuk kredensial dan data pribadi.
• Menggunakan teknik untuk mempertahankan akses jangka panjang, seperti memodifikasi registri sistem dan memanfaatkan folder startup.
• Menggunakan pengaburan dan enkripsi untuk menghindari deteksi oleh solusi keamanan.
• Konfigurasi berbahaya dianalisis di dalam lingkungan yang terkendali

Seperti yang dapat kita lihat, AsyncRAT terhubung ke masterpoldo02[.]kozow[.]com melalui port 7575, yang memungkinkan penyerang jarak jauh untuk mengendalikan mesin yang terinfeksi. Memblokir domain ini dan memantau lalu lintas ke port ini dapat membantu mencegah infeksi.

Selain itu, AsyncRAT memasang dirinya sendiri di %AppData% untuk berbaur dengan aplikasi yang sah dan menggunakan mutex (AsyncMutex_alosh) untuk mencegah beberapa instance berjalan.

Malware tersebut juga menggunakan enkripsi AES dengan kunci dan salt yang dikodekan secara keras, sehingga menyulitkan alat keamanan untuk menganalisis komunikasinya.

Lumma Stealer: Distribusi Berbasis GitHub

Pada awal tahun 2025, pakar keamanan siber mengungkap kampanye canggih yang melibatkan Lumma Stealer, malware pencuri informasi.

Penyerang menggunakan infrastruktur rilis GitHub untuk mendistribusikan malware ini, memanfaatkan kepercayaan platform untuk melewati langkah-langkah keamanan.

Setelah dijalankan, Lumma Stealer memulai aktivitas jahat tambahan, termasuk mengunduh dan menjalankan ancaman lain seperti SectopRAT, Vidar, Cobeacon, dan varian Lumma Stealer lainnya.

Karakteristik Teknis Lumma Stealer

• Didistribusikan melalui rilis GitHub, memanfaatkan infrastruktur tepercaya untuk menghindari deteksi keamanan.
• Mencuri kredensial browser, cookie, dompet mata uang kripto, dan informasi sistem.
• Mengirim data yang dicuri ke server jarak jauh, yang memungkinkan eksfiltrasi secara real-time.
• Dapat mengunduh dan menjalankan malware tambahan, termasuk SectopRAT, Vidar, dan Cobeacon.
• Menggunakan modifikasi registri dan entri startup untuk mempertahankan akses.
• Dapat dideteksi melalui alat pemantauan keamanan berbasis jaringan, yang mengungkap pola komunikasi berbahaya.

Upon execution, the malware connects to its command-and-control server, facilitating the exfiltration of sensitive data. The analysis also reveals the triggering of specific Suricata rules:

Suricata rule triggered by Lumma Stealer

InvisibleFerret: Ancaman Senyap yang Mengintai dalam Tawaran Pekerjaan Palsu

Dalam gelombang serangan rekayasa sosial, penjahat dunia maya telah memanfaatkan InvisibleFerret, malware berbasis Python yang tersembunyi, untuk membahayakan korban yang tidak menaruh curiga.

Disamarkan sebagai perangkat lunak yang sah dalam proses wawancara kerja palsu, malware ini telah aktif digunakan dalam kampanye wawancara palsu, di mana penyerang menyamar sebagai perekrut untuk mengelabui para profesional agar mengunduh alat-alat berbahaya.

Karakteristik Teknis InvisibleFerret

• Malware ini menggunakan skrip Python yang tidak teratur dan tidak jelas, sehingga membuat analisis dan deteksi menjadi sulit.
• InvisibleFerret secara aktif mencari dan mencuri informasi sensitif, termasuk kode sumber, dompet mata uang kripto, dan berkas pribadi.
• Sering kali dikirimkan sebagai muatan sekunder oleh malware lain yang disebut BeaverTail, yang merupakan infostealer dan loader berbasis JavaScript yang tidak jelas.
• Malware ini membangun persistensi pada sistem yang terinfeksi, memastikan akses dan kontrol yang berkelanjutan.

Elemen kunci dari serangan InvisibleFerret adalah penyebaran BeaverTail, modul NPM jahat yang menyediakan lingkungan Python portabel (p.zip) untuk mengeksekusi malware.

Bertindak sebagai tahap pertama dalam rantai serangan berlapis-lapis, BeaverTail menyiapkan InvisibleFerret, pintu belakang tersembunyi dengan mekanisme pengaburan dan persistensi tingkat lanjut, yang membuat deteksi menjadi sulit.

Malware mulai dengan mengumpulkan informasi sistem, seperti versi OS, nama host, nama pengguna, dan geolokasi, menggunakan layanan seperti ip-api.com, metode yang juga digunakan oleh penguras mata uang kripto.

Permintaan jahat bercampur dengan lalu lintas normal, sehingga membuat deteksi menjadi sulit. Antarmuka ANY.RUN menyoroti aktivitas ini, dengan menampilkan permintaan jaringan dalam warna oranye dan merah di bawah mesin virtual.

Mengklik tombol ATT&CK di sandbox ANY.RUN akan memberikan perincian TTP InvisibleFerret. Salah satu deteksi utama adalah T1016 (“System Network Configuration Discovery”), yang menyoroti bagaimana malware mengumpulkan data geolokasi dan sistem.

Sampai di sini topik bahasan kita kali ini mengenai operasi besar malware di 2025, semoga informasi yang dipaparkan tersebut dapat bermanfaat.

Sumber berita:

WeLiveSecurity