Google DoubleClick Disalahgunakan untuk Sebar Malware DesckVB

Para peneliti keamanan siber kembali menemukan taktik baru yang digunakan pelaku kejahatan digital untuk menyebarkan malware. Kali ini, pelaku memanfaatkan Google DoubleClick, layanan periklanan dan pelacakan milik Google yang selama ini dikenal sebagai platform tepercaya, untuk menghindari deteksi sistem keamanan dan menyebarkan malware berbahaya bernama DesckVB RAT.

Temuan ini diungkap oleh peneliti dari perusahaan keamanan siber Huntress, Anna Pham dan Adam Mooney. Mereka menemukan kampanye malspam atau spam berisi malware yang dirancang secara canggih untuk mengecoh korban sekaligus menghindari berbagai mekanisme perlindungan yang umum digunakan perusahaan maupun individu.

Menurut laporan tersebut, serangan memanfaatkan reputasi baik domain Google DoubleClick untuk membuat aktivitas berbahaya terlihat sah. Dengan cara ini, peluang serangan lolos dari penyaringan email dan sistem keamanan menjadi lebih besar.

Memanfaatkan Domain Tepercaya untuk Mengelabui Korban

Dalam skenario serangan yang ditemukan, korban tidak langsung diarahkan ke situs berbahaya. Sebaliknya, mereka terlebih dahulu melewati domain DoubleClick yang merupakan layanan resmi milik Google.

Karena domain tersebut telah lama digunakan untuk kebutuhan iklan digital dan pelacakan kampanye pemasaran, banyak solusi keamanan tidak menganggap lalu lintas menuju DoubleClick sebagai aktivitas mencurigakan. Kondisi ini dimanfaatkan pelaku sebagai pintu masuk untuk mengarahkan korban ke tahap serangan berikutnya.

Setelah melewati DoubleClick, korban dibawa ke sebuah kit malspam yang mampu menyesuaikan tampilan halaman secara otomatis berdasarkan alamat email target. Sistem ini dapat mengambil informasi terkait perusahaan tempat korban bekerja, lokasi geografis, hingga elemen identitas lainnya untuk menciptakan tampilan yang terlihat meyakinkan.

Pendekatan tersebut membuat korban lebih mudah percaya karena halaman yang ditampilkan tampak relevan dengan identitas mereka. Yang lebih mengkhawatirkan, pelaku tidak perlu lagi membuat halaman phishing secara manual untuk setiap target.

Serangan Menjadi Lebih Efisien dan Skalabel

Para peneliti menilai teknik ini merupakan perkembangan baru yang membuat operasi kejahatan siber menjadi lebih efisien.

Pada kampanye phishing tradisional, pelaku biasanya harus membuat umpan atau halaman palsu yang berbeda untuk setiap organisasi sasaran. Proses tersebut membutuhkan waktu dan sumber daya yang tidak sedikit.

Namun dalam kampanye terbaru ini, personalisasi dilakukan secara otomatis. Kit malspam akan menyesuaikan konten secara dinamis berdasarkan informasi yang diperoleh dari alamat email korban.

Dengan demikian, satu infrastruktur dapat digunakan untuk menyerang banyak organisasi sekaligus tanpa perlu melakukan penyesuaian manual. Hal ini membuat operasi menjadi lebih murah, lebih cepat, dan lebih mudah diperluas ke berbagai target di seluruh dunia.

Tujuan akhir dari kampanye tersebut adalah menginstal DesckVB RAT, sebuah trojan berbasis .NET yang diketahui mulai aktif beredar sejak Februari 2026.

Berawal dari Email Phishing dan File HTML

Rantai infeksi dimulai dari email phishing yang berisi lampiran file HTML. Ketika korban membuka file tersebut, browser akan menjalankan mekanisme meta-refresh yang secara otomatis mengalihkan pengguna ke URL pelacakan klik milik Google DoubleClick Campaign Manager.

Dari sana, korban kembali diarahkan ke server pengalihan lain yang bertugas mendekode alamat email korban yang telah dikodekan menggunakan metode Base64.

Setelah proses tersebut selesai, pengguna dibawa menuju halaman yang menampilkan tombol bertuliskan “Download PDF”. Tampilan halaman dibuat sedemikian rupa agar terlihat seperti dokumen bisnis atau file penting yang perlu segera diunduh.

Saat tombol tersebut diklik, server akan mengirimkan sebuah arsip ZIP yang menjadi awal dari proses infeksi malware.

JavaScript Loader Menjadi Penghubung Utama

Di dalam arsip ZIP terdapat komponen yang disebut JavaScript loader. Program ini berfungsi sebagai penghubung yang akan mengambil dan menjalankan malware utama tanpa menimbulkan kecurigaan.

Loader tersebut kemudian mengekstrak skrip PowerShell yang bertugas mengunduh komponen lain dari server eksternal yang dikendalikan penyerang.

Tahap ini menjadi bagian penting dari serangan karena malware berusaha menghindari deteksi sejak awal. Sebelum mengunduh muatan utama, sistem terlebih dahulu memeriksa apakah perangkat sedang dianalisis oleh peneliti keamanan atau dijalankan dalam lingkungan pengujian.

Jika kondisi dianggap aman, malware akan melanjutkan proses infeksi dengan mengunduh dan menjalankan komponen berikutnya.

Menggunakan Teknik Process Hollowing

Salah satu kemampuan yang membuat DesckVB RAT berbahaya adalah penggunaan teknik process hollowing.

Metode ini memungkinkan malware menyuntikkan kode berbahaya ke dalam proses Windows yang sah dan telah ditandatangani secara resmi oleh Microsoft. Akibatnya, aktivitas malware menjadi lebih sulit dibedakan dari proses normal sistem operasi.

Selain itu, malware juga berupaya menonaktifkan berbagai mekanisme keamanan yang ada di perangkat korban. Langkah tersebut dilakukan agar proses infeksi dapat berlangsung tanpa gangguan.

Mengambil Kendali Penuh Komputer Korban

Setelah berhasil aktif, DesckVB RAT akan terhubung ke server Command and Control (C2) milik pelaku melalui koneksi TCP langsung. Melalui koneksi tersebut, penyerang dapat mengirimkan instruksi dan menerima informasi dari perangkat yang telah terinfeksi.

Malware kemudian melakukan berbagai aktivitas berbahaya, termasuk mengumpulkan informasi sistem, memodifikasi konfigurasi keamanan, dan menambahkan pengecualian pada Microsoft Defender agar keberadaannya tidak terdeteksi.

DesckVB RAT juga diketahui menonaktifkan Antimalware Scan Interface (AMSI) dan Event Tracing for Windows (ETW). Kedua fitur tersebut merupakan komponen penting dalam mekanisme deteksi dan pemantauan ancaman di Windows.

Dengan menonaktifkan AMSI dan ETW, malware berusaha “membutakan” sistem keamanan sehingga aktivitasnya tidak tercatat atau terdeteksi.

Agar tetap aktif meskipun komputer dimatikan dan dinyalakan kembali, malware membuat entri khusus pada Registry Windows melalui fitur Run dan RunOnce. Selain itu, sebuah loader tambahan ditempatkan di folder Startup pengguna.

Mampu Mencuri Data dan Menjalankan Perintah Jarak Jauh

Sebagai sebuah Remote Access Trojan, DesckVB RAT memiliki kemampuan yang sangat luas.

Malware ini dapat mencuri data dari komputer korban, menjalankan berbagai perintah jarak jauh, mengunduh malware tambahan, hingga memberikan akses penuh kepada pelaku untuk mengendalikan perangkat yang terinfeksi.

Dengan kemampuan tersebut, pelaku dapat melakukan pencurian informasi sensitif, penyebaran malware lanjutan, hingga aktivitas spionase digital.

Yang membuatnya semakin berbahaya, DesckVB RAT dirancang untuk mendeteksi lingkungan analisis atau sandbox. Jika menemukan indikasi bahwa dirinya sedang diteliti, malware dapat menghentikan aktivitas atau bahkan memaksa sistem melakukan restart untuk menghindari investigasi.

Pentingnya Pertahanan Berlapis

Menanggapi temuan ini, Huntress menekankan pentingnya penerapan strategi defense in depth atau pertahanan berlapis dalam keamanan siber.

Salah satu rekomendasi yang diberikan adalah mengatur Group Policy Object (GPO) pada Active Directory agar file skrip seperti .vbs, .hta, dan .js secara otomatis dibuka menggunakan Notepad, bukan dieksekusi langsung oleh sistem.

Langkah sederhana tersebut dapat menghentikan serangan sejak tahap awal sebelum malware sempat dijalankan.

Di sisi lain, organisasi juga disarankan menerapkan teknologi autentikasi email seperti DMARC, DKIM, dan SPF. Ketiga teknologi ini membantu memverifikasi keaslian email sehingga dapat mengurangi risiko email palsu atau phishing mencapai kotak masuk pengguna.

Selain itu, penggunaan email security gateway yang memiliki kemampuan sandboxing terhadap lampiran dan tautan juga dapat memberikan lapisan perlindungan tambahan.

Ancaman yang Terus Berkembang

Kasus penyalahgunaan Google DoubleClick menunjukkan bahwa pelaku ancaman siber terus mengembangkan teknik baru untuk menghindari deteksi dan meningkatkan keberhasilan serangan.

Dengan memanfaatkan layanan tepercaya, melakukan personalisasi otomatis terhadap target, serta menggunakan malware canggih seperti DesckVB RAT, kampanye ini menjadi contoh bagaimana serangan modern semakin sulit dikenali.

Oleh karena itu, selain mengandalkan teknologi keamanan, perusahaan dan pengguna individu perlu meningkatkan kewaspadaan terhadap email yang tidak dikenal, lampiran mencurigakan, maupun tautan yang meminta tindakan tertentu. Kesadaran pengguna tetap menjadi salah satu pertahanan terpenting dalam menghadapi ancaman siber yang terus berkembang.