Klik Palsu: Waspada Halaman Google Meet Palsu Sebar Infostealer
- Muhammad Bachtiar Nur Fa'izi
- •
- 19 Okt 2024 07.45 WIB
Penjahat siber saat ini memanfaatkan halaman Google Meet palsu dalam sebuah kampanye malware berkelanjutan yang disebut ClickFix, yang secara khusus menargetkan pengguna sistem Windows dan macOS. Kampanye ini dirancang untuk menyebarkan infostealers, jenis perangkat lunak berbahaya yang mampu mencuri informasi pribadi pengguna tanpa sepengetahuan mereka.
Menurut laporan terbaru dari perusahaan keamanan siber asal Prancis, Sekoia, teknik yang digunakan dalam kampanye ClickFix ini melibatkan penggunaan pesan kesalahan palsu yang muncul di peramban web. Pesan tersebut sengaja dibuat untuk menipu pengguna agar menyalin dan menjalankan kode PowerShell yang telah disusupi malware. Begitu kode berbahaya tersebut dijalankan, sistem yang digunakan oleh korban akan terinfeksi, memberi penjahat siber akses untuk mencuri data penting.
ClickFix juga dikenal dengan nama ClearFake dan OneDrive Pastejacking, dan sejak beberapa bulan terakhir telah menyebar dengan variasi yang berbeda-beda. Para pelaku ancaman menggunakan berbagai trik untuk mengarahkan korban ke halaman-halaman palsu. Pada halaman tersebut, pengguna didorong untuk menjalankan kode PowerShell yang sudah dienkripsi dengan dalih untuk memperbaiki masalah tampilan konten di peramban. Dalam kenyataannya, kode tersebut adalah sarana untuk menyebarkan malware yang memungkinkan pencurian data.
Halaman-halaman palsu ini sering menyamar sebagai layanan online populer seperti Facebook, Google Chrome, PDFSimpli, reCAPTCHA, dan yang terbaru Google Meet. Selain itu, serangan ini juga berpotensi menyasar pengguna platform lain seperti Zoom. Beberapa URL palsu yang diidentifikasi sebagai bagian dari kampanye ini antara lain:
- meet.google.us-join[.]com
- meet.googie.com-join[.]us
- meet.google.web-join[.]com
- us01web-zoom[.]us
- webroom-zoom[.]us
Pada sistem operasi Windows, rantai serangan ini berakhir dengan penyebaran infostealer bernama StealC dan Rhadamanthys. Sementara itu, pengguna macOS menjadi target dengan file disk jebakan yang diberi nama Launcher_v1.94.dmg, yang ketika diinstal akan menempatkan infostealer lain bernama Atomic ke dalam sistem.
Salah satu aspek mencolok dari serangan ini adalah kecerdikan para pelaku ancaman dalam menghindari deteksi oleh alat keamanan siber. Serangan ini mengandalkan pengguna untuk secara tidak sengaja menjalankan perintah PowerShell berbahaya langsung melalui terminal mereka. Dengan cara ini, kode berbahaya tersebut tidak dipicu oleh payload yang diunduh secara otomatis oleh perangkat, melainkan dieksekusi langsung oleh korban, sehingga memperkecil kemungkinan dideteksi oleh perangkat lunak keamanan.
Dalam laporan tersebut, Sekoia mengaitkan aktivitas kampanye ClickFix dengan dua kelompok trafficker, yaitu Slavic Nation Empire (juga dikenal sebagai Slavice Nation Land) dan Scamquerteo, yang keduanya merupakan bagian dari kelompok kriminal yang lebih besar, yakni markopolo dan CryptoLove. Kedua kelompok ini tampaknya menggunakan template halaman palsu yang sama untuk menyamar sebagai Google Meet. Penemuan ini menunjukkan bahwa mereka berbagi materi, yang dikenal dengan istilah "proyek landing," termasuk infrastruktur serangan mereka. Hal ini menimbulkan dugaan bahwa kedua kelompok tersebut mungkin menggunakan layanan kejahatan siber yang sama, yang dikelola oleh pihak ketiga yang belum teridentifikasi.
Kampanye ClickFix ini juga muncul bersamaan dengan distribusi malware lain yang menyebarkan infostealer ThunderKitty, yang bersifat open-source. Malware ini memiliki kemiripan dengan infostealers lainnya seperti Skuld dan Kematian Stealer, serta sejumlah keluarga malware baru yang dinamai Divulge, DedSec (alias Doenerium), Duck, Vilsa, dan Yunit.
Perusahaan keamanan siber Hudson Rock juga menyatakan bahwa peningkatan penggunaan infostealer open-source menandai pergeseran besar dalam dunia ancaman siber. Dalam laporan yang diterbitkan pada Juli 2024, Hudson Rock mencatat bahwa alat-alat ini telah menurunkan hambatan bagi para penjahat siber untuk masuk ke dunia kejahatan digital. Selain itu, inovasi cepat yang didorong oleh ketersediaan alat-alat ini dapat memicu gelombang infeksi komputer baru di seluruh dunia, meningkatkan risiko bagi bisnis dan individu, serta menambah tantangan bagi para profesional keamanan siber.
Dengan munculnya serangan-serangan semacam ini, sangat penting bagi pengguna internet untuk waspada dan selalu berhati-hati saat menerima pesan kesalahan yang meminta mereka menjalankan perintah terminal atau PowerShell, terutama jika sumbernya berasal dari halaman web yang tidak terpercaya.