Image credit: Freepix
Waspada Software Palsu Target Pengguna Indonesia – Penipuan digital sering kali memanfaatkan satu kelemahan manusia yang paling mendasar, ketidaktelitian saat sedang terburu-buru.
Strategi inilah yang menjadi senjata utama dalam operasi spionase siber terbaru yang menargetkan pengguna berbahasa Mandarin serta berbagai organisasi di Asia Tenggara.
Para penjahat siber kini menggunakan teknik typosquatting yang sangat rapi untuk meniru merek perangkat lunak tepercaya.
Tujuannya untuk menyebarkan Trojan akses jarak jauh (Remote Access Trojan/RAT) yang sebelumnya tidak terdokumentasi, yang kini dikenal sebagai AtlasCross RAT.
Operasi ini bukan sekadar serangan amatir, ini adalah operasi yang terencana dengan sangat matang. Para peneliti mengungkapkan bahwa kelompok ini menargetkan berbagai jenis perangkat lunak.
Mulai dari klien VPN, pesan instan terenkripsi, alat konferensi video, hingga pelacak mata uang kripto dan aplikasi e-dagang.
Setidaknya ada sebelas domain pengiriman yang telah dikonfirmasi meniru merek-merek populer seperti Surfshark VPN, Signal, Telegram, Zoom, hingga Microsoft Teams.
Kelompok Silver Fox
Operasi ini dikaitkan dengan kelompok kriminal siber asal Tiongkok yang dikenal dengan nama Silver Fox (juga dilacak oleh para peneliti sebagai SwimSnake, Valley Thief, atau Void Arachne).
Penemuan AtlasCross RAT menandai evolusi signifikan dalam gudang senjata kelompok ini. Sebelumnya, mereka dikenal sering menggunakan turunan Gh0st RAT seperti ValleyRAT (atau Winos 4.0) dan HoldingHands RAT.
Para peneliti mencatat bahwa Silver Fox telah menjadi salah satu ancaman siber paling aktif dalam beberapa tahun terakhir.
Mereka secara khusus menyasar staf manajerial dan keuangan di berbagai organisasi melalui platform seperti WeChat, QQ, email phising, dan situs web alat palsu. Tujuan akhirnya sangat jelas: kontrol jarak jauh, pencurian data sensitif, dan penipuan finansial skala besar.
|
Baca juga: Tantangan Etika dan Tata Kelola AI Siber |
Manipulasi Domain yang Presisi
Kekuatan utama dari serangan ini terletak pada domain yang sangat mirip dengan aslinya. Strategi domain Silver Fox sangat bergantung pada peniruan domain resmi yang dikombinasikan dengan pelabelan regional untuk menekan kecurigaan pengguna.
Banyak dari situs web palsu ini didaftarkan secara serentak pada hari yang sama, yang menunjukkan pendekatan yang sangat disengaja di balik kampanye tersebut.
Berikut adalah daftar domain pengiriman malware yang telah dikonfirmasi oleh para peneliti:
- app-zoom.com (Meniru Zoom)
- signal-signal.com (Meniru Signal)
- telegrtam.com.cn (Meniru Telegram)
- www-surfshark.com (Meniru Surfshark VPN)
- www-teams.com (Meniru Microsoft Teams)
- trezor-trezor.com (Meniru dompet kripto Trezor)
- ultraviewer-cn.com (Meniru UltraViewer)
- quickq-quickq.com (Meniru QuickQ VPN)
- kefubao-pc.com (Meniru KeFuBao, perangkat lunak layanan pelanggan Tiongkok)
- wwtalk-app.com (Meniru WangWang)
Seluruh paket penginstal yang diidentifikasi membawa sertifikat penandatanganan kode Extended Validation (EV) yang dicuri, yang dikeluarkan untuk sebuah entitas di Vietnam.
Penggunaan sertifikat sah yang dicuri ini bertujuan untuk memberikan kesan legitimasi pada beban kerja berbahaya (payload) guna melewati pemeriksaan keamanan pada sistem operasi.
Anatomi Serangan Multi-Tahap AtlasCross RAT
Rantai serangan dimulai dengan situs web palsu sebagai umpan untuk menipu pengguna agar mengunduh arsip ZIP.
Di dalam arsip tersebut terdapat penginstal yang akan menjatuhkan binari Autodesk yang telah dimodifikasi (trojan) bersama dengan aplikasi umpan yang sah agar pengguna tidak curiga.
Proses teknis selanjutnya berlangsung secara otomatis dan sangat tersembunyi:
- Penginstal Autodesk yang dimodifikasi meluncurkan pemuat shellcode.
- Skrip tersebut mendekripsi konfigurasi Gh0st RAT yang tertanam untuk mengekstrak detail server Command-and-Control (C2).
- Sistem mengunduh shellcode tahap kedua dari domain bifa668[.]com melalui port TCP 9899.
- AtlasCross RAT akhirnya dieksekusi langsung di dalam memori perangkat untuk menghindari deteksi oleh pemindaian file tradisional.
Salah satu fitur paling canggih dari AtlasCross RAT adalah integrasi kerangka kerja PowerChell. Ini adalah mesin eksekusi PowerShell asli berbasis C/C++ yang menghosting .NET CLR langsung di dalam proses malware.
Sebelum menjalankan perintah apa pun, kerangka kerja ini secara otomatis menonaktifkan fitur keamanan Windows seperti Anti-Malware Scanning Interface (AMSI), Event Tracing for Windows (ETW), Constrained Language Mode, dan ScriptBlock logging.
|
Baca juga: Bingkai Foto Digital Bawa Ancaman Siber |
Kapabilitas Berbahaya dan Target Regional
AtlasCross RAT bukan sekadar alat pencuri data biasa. Ia dirancang untuk operasi strategis yang mendalam. Berikut adalah beberapa kapabilitas teknis yang diidentifikasi oleh para peneliti:
- Memungkinkan penyerang memantau atau memanipulasi komunikasi di platform pesan paling populer di Tiongkok.
- Mengambil alih sesi Remote Desktop Protocol yang aktif.
- Secara aktif memutus koneksi tingkat TCP dari produk keamanan asal Tiongkok (seperti 360 Safe, Huorong, dan Kingsoft) untuk memastikan mereka tidak dapat mengirimkan peringatan ke server pusat.
- Trafik menuju server C2 dienkripsi menggunakan algoritma ChaCha20 dengan kunci acak per paket yang dihasilkan melalui perangkat keras RNG (Random Number Generator).
Sejak setidaknya akhir tahun lalu, serangan ini telah meluas ke berbagai negara di Asia Tenggara dan Asia Selatan, termasuk:
- Indonesia
- Jepang
- Malaysia
- Filipina
- Thailand
- Singapura
- India.
Di India, para peneliti menemukan penggunaan umpan bertema pajak untuk menargetkan pengguna dengan malware Blackmoon.
Kesimpulan dan Rekomendasi Perlindungan
Kelompok Silver Fox menunjukkan model operasional ganda: mereka menjalankan kampanye yang luas dan oportunistik secara bersamaan dengan operasi yang lebih canggih dan strategis.
Transisi mereka dari penggunaan lampiran PDF berbahaya ke penyalahgunaan alat pemantauan jarak jauh (RMM) seperti SyncFuture TSM menunjukkan kemampuan adaptasi yang luar biasa tinggi.
Telemetri dari ESET menunjukkan bahwa penggunaan ValleyRAT memungkinkan aktor ancaman untuk mengambil kendali penuh atas mesin yang terkompromi, memanen informasi sensitif, dan memantau aktivitas pengguna secara real-time.
Hal ini memungkinkan penyerang untuk menggali lebih dalam ke dalam jaringan organisasi dan mempersiapkan tahap serangan tambahan yang lebih merusak.
Strategi pertahanan terbaik terhadap ancaman ini adalah dengan tidak pernah mengunduh perangkat lunak dari sumber yang tidak resmi.
Organisasi sangat disarankan untuk menerapkan kebijakan Allowlisting aplikasi dan menggunakan solusi keamanan yang mampu mendeteksi anomali di tingkat memori.
Selalu periksa kembali URL situs web sebelum memasukkan data atau mengunduh file, karena satu kesalahan ketik kecil bisa menjadi pintu masuk bagi pemangsa digital yang sangat canggih.
Sumber berita:
