Credit image: Freepix
Worm Canggih Curi Data Bank dari WhatsApp – Para peneliti keamanan baru-baru ini menemukan kampanye malware yang sangat canggih yang mengeksploitasi platform pesan WhatsApp untuk menyebarkan Trojan perbankan.
Target utama serangan ini adalah lembaga keuangan dan bursa kripto di Brasil, namun teknik penyebarannya menjadi pelajaran penting bagi semua pengguna global.
Worm penyebar diri ini, yang pertama kali muncul pada akhir September 2025, telah menunjukkan jangkauan yang luas, mempengaruhi ratusan lingkungan pelanggan dan lebih dari seribu perangkat.
Keberhasilannya terletak pada kombinasi trik rekayasa sosial (social engineering) yang cerdas dan teknik infeksi multi-tahap yang mampu menghindari pertahanan keamanan modern.
|
Baca juga: 316 Merek di 74 Negara Masuk Daftar Serangan Siber |
Memanfaatkan Kepercayaan
Serangan dimulai dengan cara yang halus namun efektif:
- Pesan dari Kontak Terinfeksi: Korban menerima pesan WhatsApp yang berisi lampiran file ZIP dari kontak yang sebelumnya sudah terinfeksi—entah itu teman, kolega, atau anggota grup. Pesan ini muncul melalui WhatsApp Web (versi browser desktop).
- Trik Unduh ke PC: Komponen rekayasa sosialnya sangat pintar. Pesan tersebut mengklaim bahwa konten yang dilampirkan hanya dapat dilihat di komputer. Taktik ini secara efektif mendorong penerima untuk mengunduh dan menjalankan malware di sistem desktop (Windows) alih-alih di perangkat seluler (ponsel), tempat malware dapat menyebarkan payload lengkapnya.
Setelah file ZIP diunduh dan dibuka, korban akan melihat file pintasan Windows dengan ekstensi LNK (mirip ikon jalan pintas). Begitu file ini dieksekusi, rantai infeksi berbahaya dimulai tanpa sepengetahuan pengguna.
Teknik Infeksi Multi-Tahap yang Licin
Penyerang menunjukkan pemahaman mendalam tentang arsitektur keamanan Windows. Mereka menggunakan rantai infeksi PowerShell multi-tahap yang sangat terselubung:
1. Peluncuran Terselubung dan Obfuskasi
- File LNK yang dieksekusi berisi perintah Windows yang dikaburkan (obfuscated), yang kemudian membangun dan menjalankan perintah PowerShell berkode Base64 yang sangat tersembunyi.
- Skrip PowerShell tahap pertama ini secara diam-diam meluncurkan proses Explorer (manajer file Windows) untuk mengunduh payload tahap selanjutnya dari server Command and Control (C2) milik peretas.
|
Baca juga: Serangan Phising Terbaru Menggunakan File Gambar SVG |
2. Melumpuhkan Pertahanan Windows
Tahap kedua infeksi menunjukkan kemampuan canggih malware ini untuk menghindari deteksi. Komentar berbahasa Portugis yang tertanam dalam kode PowerShell secara eksplisit mengungkapkan niat penulis untuk:
- “add an exclusion in Microsoft Defender” (menambahkan pengecualian di Microsoft Defender).
- “disable UAC” (User Account Control – menonaktifkan kontrol akun pengguna).
Modifikasi ini menciptakan lingkungan yang permisif, memungkinkan malware beroperasi dengan hak istimewa tinggi tanpa memicu peringatan keamanan atau memerlukan interaksi pengguna.
3. Pengiriman Payload Ganda
Kampanye ini mengirimkan dua payload berbeda, tergantung pada karakteristik sistem yang terinfeksi:
- Selenium: Ini adalah tool otomatisasi browser yang sah. Penyerang menggunakannya untuk membajak sesi WhatsApp Web yang aktif. Inilah yang memungkinkan mekanisme penyebaran otomatis worm ini ke semua kontak dan grup korban.
- Trojan Perbankan “Maverick”: Trojan ini memantau lalu lintas browser untuk mencari koneksi ke bank-bank Brasil dan bursa kripto. Setelah target finansial diakses, Maverick akan menyebarkan malware perbankan berbasis .NET tambahan yang dirancang khusus untuk mencuri informasi dan kredensial.
Risiko dan Pencegahan untuk Pengguna Awam
Kasus ini menyoroti bagaimana platform komunikasi yang paling terpercaya pun dapat menjadi vektor serangan yang sangat berbahaya, terutama bagi pengguna yang juga mengakses akun keuangan dan perusahaan di PC mereka.
|
Baca juga: Dunia Gemetar Dua Kelompok Peretas Canggih Berkolaborasi |
Apa yang Perlu Anda Waspadai
- Jangan pernah menjalankan file ZIP atau file pintasan (.LNK) yang diterima, meskipun itu berasal dari kontak terpercaya. Akun mereka mungkin sudah dibajak.
- Pesan yang meminta Anda untuk download file ke PC karena “tidak bisa dibuka di ponsel” harus dianggap sebagai penipuan.
- Malware ini sengaja mengincar pengguna yang menggunakan WhatsApp Web karena kemampuannya membajak sesi browser untuk menyebar dan mencuri data.
Langkah Pencegahan Penting
- Nonaktifkan Unduhan Otomatis: Ubah pengaturan WhatsApp (terutama WhatsApp Web) untuk tidak mengunduh file atau media secara otomatis.
- Perbarui dan Lindungi PC: Pastikan sistem operasi Windows dan perangkat lunak keamanan Anda (seperti Microsoft Defender atau Antivirus pihak ketiga) selalu dalam keadaan terbaru.
- Hati-hati dengan Ekstensi File: Berhati-hatilah terhadap file berformat ZIP, LNK (pintasan), dan script (.BAT, .PS1, dll.) yang diterima melalui chat.
- Pisahkan Komunikasi: Jika memungkinkan, hindari menggunakan WhatsApp pribadi untuk komunikasi bisnis yang sangat sensitif atau transfer file internal perusahaan.
Kampanye Maverick adalah pengingat bahwa penjahat siber terus berinovasi. Kewaspadaan dan kesadaran akan teknik rekayasa sosial adalah benteng pertahanan pertama dan terbaik bagi setiap pengguna.
Sumber berita:
