YouTube dan Software Bajakan Jadi Media Penyebaran Malware

Ancaman keamanan siber kembali meningkat seiring terungkapnya kampanye serangan baru yang memanfaatkan perangkat lunak bajakan dan video YouTube sebagai media penyebaran malware berbahaya. Peneliti keamanan menemukan dua jenis malware loader canggih bernama CountLoader dan GachiLoader yang digunakan pelaku kejahatan siber untuk menginfeksi perangkat korban secara diam-diam.

Temuan ini menjadi peringatan serius bagi pengguna internet, terutama mereka yang sering mengunduh software bajakan atau tergiur tutorial dan tautan mencurigakan di platform video populer seperti YouTube.

CountLoader, Malware Senyap dari Software Bajakan

Berdasarkan analisis tim Threat Intelligence Cyderes Howler Cell, pelaku serangan memanfaatkan situs distribusi perangkat lunak bajakan sebagai pintu masuk utama. Malware CountLoader digunakan sebagai alat awal dalam serangan bertahap atau multi-stage attack.

Artinya, malware ini tidak langsung mencuri data, melainkan membuka akses awal, menghindari sistem keamanan, lalu mengunduh malware lain yang lebih berbahaya. Strategi ini membuat serangan sulit terdeteksi sejak awal.

CountLoader sebenarnya bukan malware baru. Sebelumnya, Fortinet dan Silent Push telah mendokumentasikan kemampuannya dalam menyebarkan berbagai malware terkenal seperti Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer, hingga PureMiner. Malware ini diketahui aktif setidaknya sejak Juni 2025 dan terus berevolusi.

Modus Penipuan yang Tampak Meyakinkan

Serangan dimulai ketika pengguna mencoba mengunduh versi bajakan dari software populer, seperti Microsoft Word. Alih-alih mendapatkan aplikasi yang diinginkan, korban justru diarahkan ke tautan unduhan di MediaFire yang berisi arsip ZIP berbahaya.

Di dalam arsip tersebut terdapat dua file utama: satu file ZIP terenkripsi dan satu dokumen Microsoft Word. Dokumen Word tersebut tampak meyakinkan karena berisi kata sandi untuk membuka file ZIP kedua, seolah-olah merupakan bagian resmi dari installer.

Namun, di balik itu tersembunyi file berbahaya berupa interpreter Python asli yang telah diganti namanya menjadi “Setup.exe”. File ini dikonfigurasi untuk menjalankan perintah tersembunyi yang mengunduh CountLoader versi 3.2 dari server jarak jauh dengan memanfaatkan fitur bawaan Windows, yaitu mshta.exe.

Bertahan Lama di Sistem Korban

Agar tetap aktif dalam jangka panjang, CountLoader membuat tugas terjadwal (scheduled task) yang menyamar sebagai layanan Google dengan nama rumit seperti GoogleTaskSystem136.0.7023.12. Tugas ini dijalankan setiap 30 menit dan bahkan dikonfigurasi untuk aktif hingga 10 tahun ke depan.

Tak hanya itu, malware ini juga cukup cerdas untuk memeriksa sistem keamanan korban. CountLoader mengecek apakah perangkat menggunakan CrowdStrike Falcon, salah satu solusi keamanan endpoint populer, melalui Windows Management Instrumentation (WMI). Jika terdeteksi, metode eksekusinya diubah agar lebih sulit terpantau.

Fitur Lengkap dan Berbahaya

Versi terbaru CountLoader dilengkapi berbagai kemampuan berbahaya, di antaranya:

• Mengunduh dan menjalankan file EXE dari server jarak jauh
• Mengeksekusi modul Python atau file EXE dari arsip ZIP
• Menjalankan file DLL menggunakan rundll32.exe
• Menginstal paket MSI secara diam-diam
• Menghapus jejak dengan menghapus tugas terjadwal
• Mengumpulkan dan mengirim data sistem korban
• Menyebar melalui USB dengan membuat shortcut palsu
• Menjalankan malware langsung di memori tanpa file
• Mengeksekusi payload PowerShell jarak jauh

Dalam kasus yang dianalisis Cyderes, muatan akhir yang dikirim oleh CountLoader adalah ACR Stealer, malware pencuri data yang menargetkan informasi sensitif seperti kredensial, data sistem, dan kemungkinan data keuangan.

Cyderes menegaskan bahwa evolusi CountLoader menunjukkan meningkatnya kecanggihan serangan siber modern, terutama dengan teknik fileless execution dan penyalahgunaan file bertanda tangan resmi.

 
GachiLoader, Malware dari Jaringan “Hantu” YouTube

Selain CountLoader, ancaman lain datang dari malware loader baru bernama GachiLoader, yang diungkap oleh peneliti dari Check Point. Berbeda dengan CountLoader, GachiLoader ditulis menggunakan JavaScript berbasis Node.js dan disebarkan melalui jaringan akun YouTube yang telah diretas, dikenal sebagai YouTube Ghost Network.

Pelaku memanfaatkan akun-akun tersebut untuk mengunggah video yang berisi tautan unduhan malware, sering kali menyamar sebagai tutorial software populer atau alat gratis yang sedang tren.

Check Point mencatat setidaknya 100 video YouTube terlibat dalam kampanye ini, dengan total sekitar 220 ribu penayangan. Video-video tersebut berasal dari 39 akun YouTube yang diretas, dengan unggahan pertama terdeteksi pada 22 Desember 2024. Sebagian besar konten berbahaya itu kini telah dihapus oleh Google.

Salah satu varian GachiLoader mengunduh malware tahap kedua bernama Kidkadi, yang menggunakan teknik canggih untuk menyuntikkan file Portable Executable (PE). Teknik ini memuat DLL resmi, lalu memanfaatkan Vectored Exception Handling untuk menggantinya dengan payload berbahaya secara langsung.

Menipu Korban dengan Hak Administrator

GachiLoader juga memeriksa apakah ia dijalankan dengan hak administrator menggunakan perintah net session. Jika gagal, malware akan mencoba menjalankan ulang dirinya dengan hak admin, memicu notifikasi User Account Control (UAC).

Karena malware ini biasanya menyamar sebagai installer software populer, banyak korban tanpa sadar mengklik “Yes” pada peringatan UAC tersebut, memberi akses penuh ke sistem mereka.

Pada tahap akhir, GachiLoader berusaha menonaktifkan perlindungan dengan menghentikan proses SecHealthUI.exe milik Microsoft Defender, lalu menambahkan pengecualian agar folder penting tidak dipindai oleh antivirus.

Dalam beberapa kasus, GachiLoader juga digunakan untuk menyebarkan malware pencuri data terkenal Rhadamanthys.

Peringatan Serius bagi Pengguna Internet

Check Point menilai pelaku di balik GachiLoader memiliki pemahaman mendalam tentang sistem Windows dan teknik penghindaran deteksi. Temuan ini menjadi alarm keras bagi pengguna internet untuk lebih berhati-hati.

Mengunduh software bajakan atau mengklik tautan sembarangan di YouTube bukan lagi sekadar risiko kecil, melainkan pintu masuk bagi malware canggih yang mampu mencuri data dan mengendalikan perangkat tanpa disadari.

Para pakar keamanan menekankan pentingnya menggunakan software resmi, memperbarui sistem secara berkala, serta tidak mudah percaya pada tautan atau installer dari sumber yang tidak jelas. Di era digital saat ini, kewaspadaan pengguna menjadi benteng pertahanan pertama dari ancaman siber yang terus berkembang.