Credit image: Pixabay
Para peneliti keamanan siber telah menemukan kampanye phising baru yang memanfaatkan pesan suara palsu dan pesanan pembelian untuk menyebarkan malware loader bernama UpCrypter.
Menurut peneliti, kampanye ini menggunakan email yang dibuat dengan hati-hati untuk mengirim URL berbahaya yang terhubung ke halaman phising yang meyakinkan.
Halaman-halaman ini dirancang untuk memancing penerima agar mengunduh file JavaScript yang berfungsi sebagai dropper untuk UpCrypter.
Serangan yang menyebarkan malware ini telah menargetkan sektor manufaktur, teknologi, kesehatan, konstruksi, dan retail/hospitality di seluruh dunia sejak awal Agustus 2025. Sebagian besar infeksi terjadi di Austria, Belarus, Kanada, Mesir, India, dan Pakistan, serta negara-negara lainnya.
UpCrypter berfungsi sebagai jalur untuk berbagai remote access tools (RAT), seperti PureHVNC RAT, DCRat, dan Babylon RAT. Masing-masing RAT ini memungkinkan penyerang untuk mengambil kendali penuh atas host yang terinfeksi.
|
Baca juga: Jerat Penipuan Finansial Deepfake |
Cara Kerja Serangan UpCrypter
Rantai infeksi dimulai dengan email phising yang menggunakan tema pesan suara atau pesanan pembelian untuk menipu penerima agar mengeklik tautan yang mengarah ke halaman palsu. Di halaman tersebut, korban diminta untuk mengunduh pesan suara atau dokumen PDF.
Halaman umpan dirancang agar terlihat meyakinkan dengan tidak hanya menampilkan nama domain korban pada spanduknya, tetapi juga mengambil dan menyematkan logo domain tersebut di dalam konten halaman untuk memperkuat keaslian. Tujuan utamanya adalah untuk mengarahkan pengguna ke unduhan berbahaya.
Muatan yang diunduh adalah arsip ZIP yang berisi file JavaScript yang di-obfuscate (disembunyikan). File ini kemudian menghubungi server eksternal untuk mengambil malware tahap selanjutnya.
Tetapi hanya setelah memastikan konektivitas internet dan memindai proses yang berjalan untuk mencari alat forensik, debugger, atau lingkungan sandbox.
Pada gilirannya, loader akan menghubungi server yang sama untuk mendapatkan muatan akhir, baik dalam bentuk teks biasa atau disematkan di dalam gambar yang tampak tidak berbahaya, sebuah teknik yang dikenal sebagai steganografi.
UpCrypter juga didistribusikan sebagai loader MSIL (Microsoft Intermediate Language) yang, seperti versi JavaScript-nya, melakukan pemeriksaan anti-analisis dan anti-mesin virtual.
Setelah itu, ia mengunduh tiga muatan berbeda: skrip PowerShell yang di-obfuscate, sebuah DLL, dan muatan utama.
Serangan ini memuncak ketika skrip menyematkan data dari loader DLL dan muatan selama eksekusi. Dengan demikian, malware dapat berjalan tanpa harus menulisnya ke sistem file.
Pendekatan ini juga memiliki keuntungan meminimalkan jejak forensik, yang memungkinkan malware beroperasi tanpa terdeteksi.
Kombinasi antara loader yang terus diperbarui, lapisan obfuscation, dan pengiriman RAT yang beragam menunjukkan ekosistem penyebaran ancaman yang adaptif dan mampu melewati pertahanan serta mempertahankan persistence di berbagai lingkungan.
|
Baca juga: Modus Penipuan Canggih untuk Menginfeksi Komputer Sendiri |
Tren Serangan Baru dan Saran Perlindungan
Laporan ini muncul bersamaan dengan temuan lain mengenai operasi phising skala besar yang menyalahgunakan Google Classroom untuk mendistribusikan lebih dari 115.000 email phising yang menargetkan 13.500 organisasi. Serangan ini menargetkan organisasi di Eropa, Amerika Utara, Timur Tengah, dan Asia.
Penyerang memanfaatkan kepercayaan ini dengan mengirimkan undangan palsu yang berisi tawaran komersial yang tidak terkait, mulai dari penawaran penjualan kembali produk hingga layanan SEO.
Setiap email mengarahkan penerima untuk menghubungi penipu melalui nomor telepon WhatsApp, taktik yang sering dikaitkan dengan skema penipuan.
Serangan ini berhasil melewati sistem keamanan karena memanfaatkan reputasi infrastruktur Google Classroom untuk melewati protokol otentikasi email utama, seperti SPF, DKIM, dan DMARC, sehingga email phising berhasil mendarat di kotak masuk pengguna.
Kampanye-kampanye ini merupakan bagian dari tren yang lebih besar di mana para pelaku ancaman memanfaatkan layanan sah seperti Microsoft 365 Direct Send dan OneNote.
Serta menyalahgunakan pembuat situs web berbasis AI gratis seperti Vercel v0 dan Flazio, juga platform lain seperti Discord CDN, SendGrid, Zoom, ClickFunnels, Jotform, dan t.co milik X. Pendekatan ini dikenal sebagai living-off-trusted-sites (LOTS).
Selain itu, para penyerang semakin mengandalkan teknik penghindaran sisi klien pada halaman phising untuk menghindari sistem deteksi otomatis dan analisis manual.
Ini termasuk penggunaan pemblokiran berbasis JavaScript, template Browser-in-the-Browser (BitB), dan hosting halaman di dalam lingkungan virtual desktop menggunakan noVNC.
Sebuah metode yang semakin populer adalah penggunaan skrip anti-analisis berbasis JavaScript; kode kecil namun efektif yang disematkan di halaman phising, situs dukungan teknis palsu, dan pengalihan berbahaya.
Begitu ada aktivitas mencurigakan, situs tersebut langsung mengalihkan pengguna ke halaman kosong atau menonaktifkan interaksi lebih lanjut, memblokir akses sebelum inspeksi lebih dalam dapat terjadi.
Dengan tren serangan yang semakin canggih dan adaptif, penting bagi individu dan organisasi untuk meningkatkan kewaspadaan dan memperkuat pertahanan siber mereka dengan solusi keamanan berlapis yang dapat mendeteksi dan mencegah ancaman sejak dini.
Sumber berita:
