Berita Terbaru

Malware QuirkyLoader Muncul, Ancaman Baru Siber Global

Ilustrasi Malware

Ilustrasi Malware

Dunia keamanan siber kembali diguncang dengan munculnya malware loader baru bernama QuirkyLoader. Malware ini pertama kali terdeteksi sejak November 2024 dan digunakan dalam kampanye spam email untuk menyebarkan berbagai jenis malware berbahaya. Temuan ini diungkap oleh tim peneliti IBM X-Force yang memperingatkan bahwa QuirkyLoader mampu menjadi pintu masuk bagi beragam serangan siber berbahaya, mulai dari pencurian data hingga kontrol jarak jauh perangkat korban.

 

Malware Populer yang Didistribusikan

QuirkyLoader diketahui digunakan untuk menyebarkan beberapa malware yang sudah populer di kalangan peretas, di antaranya:

  • Agent Tesla: malware pencuri informasi yang kerap menargetkan kredensial login dan data pribadi.
  • AsyncRAT: trojan akses jarak jauh (RAT) yang memungkinkan peretas mengendalikan komputer korban.
  • Formbook: pencuri data yang fokus mengincar kata sandi dan formulir yang diisi pengguna.
  • Masslogger: malware pencuri informasi yang bisa merekam aktivitas keyboard.
  • Remcos RAT: alat kontrol jarak jauh yang sering digunakan untuk spionase.
  • Rhadamanthys Stealer: malware baru yang dikenal agresif mencuri data sensitif.
  • Snake Keylogger: keylogger berbahaya yang merekam setiap ketikan pengguna serta menyalin isi clipboard.

Dengan variasi malware tersebut, jelas bahwa QuirkyLoader bukan sekadar malware biasa, melainkan sebuah loader multifungsi yang bisa menjadi senjata berbahaya dalam serangan siber modern.

 

Cara Kerja QuirkyLoader

Menurut laporan IBM, serangan berbasis QuirkyLoader biasanya disebarkan melalui email spam. Email ini dikirim menggunakan layanan email resmi maupun server yang dikendalikan langsung oleh pelaku. Lampiran email biasanya berupa arsip berbahaya berisi DLL berbahaya, payload terenkripsi, dan file executable asli.

Raymond Joseph Alfonso, peneliti keamanan IBM X-Force, menjelaskan bahwa pelaku memanfaatkan teknik DLL side-loading. Artinya, ketika file executable asli dijalankan, sistem akan otomatis memuat DLL berbahaya yang sudah disisipkan. Dari situ, DLL akan mendekripsi dan menyuntikkan payload akhir ke proses target.

Payload tersebut kemudian dimasukkan melalui metode process hollowing ke dalam salah satu proses Windows, seperti:

  • AddInProcess32.exe
  • InstallUtil.exe
  • aspnet_wp.exe

Teknik ini membuat malware lebih sulit terdeteksi karena seolah-olah dijalankan oleh proses sah dari sistem operasi.

 

Target Serangan di Taiwan dan Meksiko

IBM mencatat bahwa QuirkyLoader sudah digunakan dalam beberapa kampanye serangan terbatas. Pada Juli 2025, misalnya, ada dua serangan signifikan:

  • Di Taiwan: Target serangan adalah karyawan Nusoft Taiwan, perusahaan riset keamanan jaringan di New Taipei City. Malware yang dikirimkan adalah Snake Keylogger dengan kemampuan mencuri data dari browser, merekam ketikan keyboard, hingga mengakses clipboard.
  • Di Meksiko: Serangan berlangsung lebih acak dengan distribusi Remcos RAT dan AsyncRAT, yang memungkinkan pelaku mendapatkan kendali penuh atas perangkat korban.

Alfonso menambahkan bahwa pelaku konsisten menulis modul loader DLL dalam bahasa .NET dan menggunakan Ahead-of-Time (AOT) compilation. Teknik ini membuat file biner terlihat seperti aplikasi biasa yang ditulis dalam bahasa C atau C++, sehingga makin sulit dikenali oleh sistem keamanan.

 

Tren Baru: Quishing dan Kit Phishing Canggih

Selain QuirkyLoader, peneliti juga menemukan tren baru dalam serangan phishing. Salah satunya adalah quishing, yaitu phishing berbasis kode QR berbahaya. Pelaku menggunakan trik seperti:

  • Membagi kode QR menjadi dua bagian.
  • Menyisipkan kode berbahaya ke dalam kode QR asli.

Menurut peneliti Barracuda, Rohit Suresh Kanase, kode QR berbahaya sulit dideteksi karena tidak bisa dibaca manusia secara langsung. Banyak filter email dan pemindai tautan juga gagal mengenali ancaman ini. Terlebih lagi, korban biasanya memindai kode QR melalui ponsel, yang berarti mereka keluar dari perlindungan sistem keamanan perusahaan.

 

PoisonSeed dan Precision-Validated Phishing

Ancaman lain yang muncul adalah kit phishing baru bernama PoisonSeed. Kit ini digunakan untuk mencuri akun, kredensial login, hingga kode autentikasi dua faktor (2FA). Target utamanya adalah pengguna Google, Mailchimp, SendGrid, dan layanan populer lainnya.

Metode yang digunakan adalah spear-phishing, di mana korban diarahkan ke halaman login palsu. Uniknya, PoisonSeed menerapkan teknik precision-validated phishing. Dalam metode ini, alamat email korban divalidasi secara real-time, sementara korban diperlihatkan tantangan palsu menyerupai Cloudflare Turnstile. Setelah lolos, korban diarahkan ke formulir login palsu yang tampak sangat mirip dengan platform asli. Dari situlah kredensial dicuri dan dikirim ke server peretas.

Kemunculan QuirkyLoader dan tren phishing baru seperti quishing serta PoisonSeed menunjukkan bahwa ancaman siber semakin kompleks dan canggih. Loader ini tidak hanya mendistribusikan malware berbahaya, tetapi juga memanfaatkan teknik penyamaran tingkat lanjut untuk menghindari deteksi.

Para pengguna, baik individu maupun perusahaan, diimbau untuk:

  • Selalu berhati-hati dengan email yang mencurigakan.
  • Tidak sembarangan mengunduh lampiran atau memindai kode QR.
  • Menggunakan solusi keamanan terkini yang mampu mendeteksi ancaman berbasis file maupun jaringan.

Dengan meningkatnya variasi metode serangan, kewaspadaan dan edukasi keamanan siber menjadi kunci utama agar tidak terjebak dalam perangkap para peretas.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait