Ancaman Siber April 2025: Cerdas, Tertarget, Sulit Dideteksi

April 2025 menjadi bulan yang penuh dinamika dalam dunia keamanan siber. Para penjahat digital tidak berdiam diri, mereka terus menyempurnakan trik-trik manipulatif, memanfaatkan teknologi untuk mengelabui pengguna dan menembus pertahanan sistem keamanan yang semakin canggih.

Dalam laporan terbaru dari tim peneliti keamanan ANY.RUN sebuah platform sandbox interaktif untuk menganalisis malware secara real-time ditemukan bahwa serangan-serangan di bulan ini semakin kompleks. Mulai dari serangan yang menyamar sebagai CAPTCHA hingga ransomware versi terbaru, para pelaku memanfaatkan kombinasi antara rekayasa sosial, teknik manipulatif, dan malware yang terus berevolusi.

Artikel ini akan membedah empat serangan utama yang teridentifikasi sepanjang April 2025 dan memberikan pelajaran penting untuk tim keamanan TI serta pengguna internet secara umum.

1. ClickFix: CAPTCHA Palsu yang Menjebak Korban

CAPTCHA adalah sistem keamanan yang biasa digunakan untuk membedakan manusia dan bot di internet. Tapi siapa sangka, teknologi ini sekarang bisa diputarbalikkan menjadi alat jebakan? Inilah yang dilakukan ClickFix, sebuah penipuan siber yang menyamarkan serangannya lewat CAPTCHA palsu.

Berbeda dengan CAPTCHA standar yang meminta pengguna mencentang kotak "Saya bukan robot", versi jebakan dari ClickFix menginstruksikan pengguna untuk menekan beberapa tombol di keyboard. Tanpa disadari, kombinasi tombol tersebut memicu eksekusi kode berbahaya di latar belakang, seolah kamu memberikan akses kepada penyerang hanya dengan mengikuti instruksi yang terlihat "biasa saja".

Lebih canggih lagi, evolusi ClickFix membuatnya semakin sulit dideteksi oleh sistem keamanan tradisional. Berikut adalah tiga tahap perkembangannya:

1. Tahap Awal: Menggunakan teks biasa seperti "I am not a robot". Sistem bisa mendeteksinya dengan pencocokan teks sederhana.
2. Tahap Kedua: Penyerang mulai memakai homoglyphs, yakni karakter dari alfabet lain yang mirip secara visual. Misalnya:
   • not → nοt (huruf “o” dari alfabet Yunani)
   • robot → rоbоt (huruf “o” dari alfabet Cyrillic)
3. Tahap Ketiga: Penyerang menyisipkan karakter tak terlihat seperti Zero-Width Space (U+200B) atau Right-to-Left Override (U+202E) untuk mengacak kata secara tak terlihat. Secara visual tidak berbeda, tetapi sistem keamanan menjadi bingung membacanya.

Keberadaan alat seperti ANY.RUN menjadi penting dalam kasus ini. Karena tidak hanya membaca kode secara statis, platform ini mampu menganalisis bagaimana file berperilaku saat dijalankan termasuk jebakan-jebakan yang hanya aktif ketika pengguna menekan tombol atau melakukan interaksi.

2. Dukungan Palsu dengan Visual Microsoft Defender

Jenis serangan ClickFix lainnya ditemukan di Amerika Serikat, dengan teknik penipuan yang jauh lebih meyakinkan. Serangan ini menyamar sebagai halaman Microsoft Defender dan Cloudflare palsu. Bahkan lebih rumit lagi, domain yang digunakan terdaftar sejak 2006 dengan nama organisasi yang tampak sah: Indo-American Chamber of Commerce.

Namun saat diakses dari IP Amerika, situs tersebut menampilkan pop-up layar penuh yang meniru Windows Security Center, lengkap dengan logo dan warna yang menyerupai aslinya. Ketika korban merasa panik karena tampilan seolah-olah menunjukkan adanya ancaman, mereka diminta menelepon nomor dukungan teknis yang ternyata adalah bagian dari jaringan penipuan.

Tidak hanya itu, dalam beberapa kasus halaman juga memalsukan pesan kesalahan dari Cloudflare untuk memancing korban menjalankan perintah tertentu di sistem mereka.

ANY.RUN berhasil mendokumentasikan jalannya proses serangan ini dengan sangat jelas, mulai dari pop-up yang muncul, tombol yang ditekan korban, hingga kode jahat yang aktif di balik layar. Fitur replay ini sangat bermanfaat untuk pelatihan keamanan siber maupun mempercepat respon terhadap serangan yang sulit dibedakan dengan tampilan asli.

3. WormLocker 2.0: Ransomware Lama, Gaya Baru

WormLocker pertama kali muncul pada tahun 2021 dan menjadi salah satu ransomware yang cukup dikenal karena kecepatannya dalam mengenkripsi data. Kini di tahun 2025, WormLocker hadir kembali dalam versi 2.0 dengan pendekatan yang jauh lebih agresif dan destruktif.

Begitu malware ini dijalankan, WormLocker 2.0 segera menyebarkan file berbahaya (.sys) ke folder Desktop dan Downloads. Prosesnya sangat cepat, dan inilah yang berhasil dicatat oleh sandbox ANY.RUN:

1. Malware menggunakan perintah sistem seperti takeown dan icacls untuk mengambil hak akses file sistem.
2. Selanjutnya, malware menyalin dirinya ke folder System32, lokasi sistem inti Windows.
3. Setelah itu, ia mulai melakukan penguncian sistem.

Untuk mencegah korban melakukan pemulihan sistem, WormLocker 2.0 juga melakukan langkah-langkah berikut:

1. Menonaktifkan Task Manager
2. Menghapus file tersembunyi penting
3. Mematikan Windows Explorer
4. Menghapus pengaturan shell agar desktop tidak muncul kembali saat komputer dinyalakan ulang

Ransomware ini mengenkripsi file menggunakan algoritma AES-256 dalam mode CBC. Uniknya, kunci untuk dekripsi adalah password tetap: LUC QPV BTR. Artinya, jika pengguna mengetahui password ini, mereka bisa membuka kembali akses ke sistem dan file yang terenkripsi.

Sebagai tambahan teror, WormLocker juga memutar pesan tebusan lewat skrip suara (VBS). Semua ini ditampilkan secara jelas dan sistematis melalui interface ANY.RUN, menjadikannya alat edukasi yang kuat bagi analis keamanan dari tingkat pemula hingga profesional.

4. Tycoon2FA: Phishing yang Hanya Menyerang Wilayah Tertentu

Tycoon2FA adalah salah satu kampanye phishing tercanggih yang ditemukan pada bulan April. Berbeda dengan phishing konvensional yang menyebar secara luas, Tycoon2FA hanya menampilkan konten berbahaya kepada pengguna dari wilayah tertentu seperti Argentina, Brasil, dan Timur Tengah.

Dengan kecerdasan lokasi, phishing ini bisa menyaring siapa yang jadi target. ANY.RUN mencatat bahwa situs Tycoon2FA menggunakan metode identifikasi berdasarkan:

• Zona waktu perangkat
• Ukuran layar
• Plugin browser
• GPU
• Jenis IP (perumahan atau komersial)

Jika semua parameter cocok, pengguna akan dialihkan secara diam-diam ke halaman phishing. Namun jika tidak cocok, mereka hanya akan diarahkan ke situs-situs umum seperti Tesla atau Emirates, untuk menghindari kecurigaan.

Kode berbahaya dipicu oleh gambar tersembunyi yang gagal dimuat, dengan skrip seperti ini:

onerror="(new Function(atob(this.dataset.digest)))();"

Artinya, serangan bisa aktif hanya karena satu elemen visual di halaman gagal tampil, teknik ini sangat licik dan nyaris tidak terdeteksi oleh pengguna biasa.

ANY.RUN memungkinkan simulasi dari berbagai pengaturan lokasi dan perangkat, menjadikannya alat yang sangat penting untuk mendeteksi phishing berbasis wilayah yang tidak bisa diakses oleh pengamat umum dari lokasi lain.

Pelajaran Penting dari Serangan Siber April 2025

Keempat kasus ini menunjukkan bahwa serangan siber saat ini tidak lagi bersifat statis. Mereka:

1. Dinamis: Bisa menyesuaikan perilaku berdasarkan lokasi, perangkat, dan interaksi pengguna.
2. Sulit Dideteksi: Menggunakan teknik manipulasi teks, domain lama, dan visual palsu yang sangat meyakinkan.
3. Tertarget: Menyerang wilayah tertentu dengan cermat, menghindari deteksi global.

Maka dari itu, penting bagi organisasi dan individu untuk:

• Menggunakan alat deteksi berbasis perilaku seperti ANY.RUN.
• Melakukan simulasi dan pelatihan terhadap serangan dunia nyata.
• Menghindari mengklik atau mengikuti instruksi yang tidak masuk akal.
• Memperbarui sistem dan antivirus secara berkala.
• Memverifikasi setiap informasi yang muncul di layar, terutama jika melibatkan permintaan untuk menelepon nomor dukungan teknis.

Dunia siber bukan lagi tempat yang aman jika kita bersikap pasif. Ancaman seperti ClickFix, Tycoon2FA, dan WormLocker 2.0 membuktikan bahwa serangan siber semakin sulit dikenali, bahkan oleh mata ahli sekalipun. 

Keamanan tidak datang dari harapan, tapi dari kesiapan. Apakah kamu sudah siap menghadapi ancaman siber berikutnya?