Phishing Modern Manfaatkan GitHub dan Dropbox Sebar Malware

Ancaman siber kembali menunjukkan tingkat kecanggihan yang semakin tinggi. Kali ini, para peneliti keamanan menemukan sebuah kampanye phishing multi-stage yang secara khusus menargetkan pengguna di Rusia. Kampanye ini memadukan berbagai teknik rekayasa sosial, pemanfaatan layanan cloud populer, serta penyebaran dua jenis malware berbahaya, yakni ransomware dan trojan akses jarak jauh bernama Amnesia RAT.

Menurut laporan Fortinet FortiGuard Labs, serangan ini dirancang dengan sangat rapi agar tampak seperti aktivitas bisnis yang sah. Peneliti Fortinet, Cara Lin, menjelaskan bahwa tahap awal serangan dimulai dengan pengiriman dokumen bertema pekerjaan, seperti tugas administrasi atau laporan internal, yang terlihat biasa dan tidak mencurigakan. Dokumen tersebut digunakan sebagai umpan untuk mengelabui korban, sementara aktivitas berbahaya dijalankan secara tersembunyi di latar belakang sistem.

Salah satu keunikan kampanye ini adalah penggunaan beberapa layanan cloud publik untuk menyebarkan komponen malware yang berbeda. GitHub dimanfaatkan untuk meng-host skrip berbahaya, sedangkan file biner utama disimpan di Dropbox. Strategi pemisahan ini membuat upaya pemblokiran atau penghapusan infrastruktur serangan menjadi lebih sulit, sekaligus meningkatkan ketahanan kampanye terhadap gangguan dari pihak keamanan.

Tak hanya itu, pelaku juga menyalahgunakan sebuah alat bernama defendnot untuk melumpuhkan Microsoft Defender. Defendnot awalnya dirilis sebagai proyek penelitian oleh seorang peneliti keamanan dengan nama samaran es3n1n. Alat ini dapat menipu Windows dengan membuat sistem mengira antivirus lain telah terpasang, sehingga Microsoft Defender secara otomatis menonaktifkan dirinya untuk menghindari konflik. Dalam konteks kampanye ini, defendnot dimanfaatkan sepenuhnya untuk membuka jalan bagi malware agar dapat berjalan tanpa terdeteksi.

Serangan dimulai dari arsip ZIP yang dikirim kepada korban. Di dalam arsip tersebut terdapat beberapa dokumen umpan dan sebuah file shortcut Windows berbahaya dengan format LNK. File LNK ini menggunakan nama berbahasa Rusia dan ekstensi ganda, sehingga tampak seperti file teks biasa. Contohnya, nama file dibuat menyerupai dokumen tugas akuntansi, padahal sebenarnya merupakan pintasan yang akan mengeksekusi perintah berbahaya.

Ketika korban membuka file tersebut, sistem akan menjalankan perintah PowerShell yang secara otomatis mengunduh skrip tahap berikutnya dari repositori GitHub. Skrip ini berperan sebagai pemuat awal yang membuka akses pertama ke sistem korban, menyiapkan mekanisme penyamaran, serta meneruskan alur eksekusi ke tahapan serangan yang lebih kompleks.

Agar tidak menimbulkan kecurigaan, skrip PowerShell terlebih dahulu menyembunyikan jendela konsolnya dari layar pengguna. Setelah itu, skrip membuat dokumen teks palsu di direktori data aplikasi lokal dan langsung membukanya. Dengan cara ini, korban tetap merasa sedang mengakses dokumen pekerjaan, tanpa menyadari bahwa sistemnya telah disusupi.

Di balik layar, skrip tersebut mengirimkan notifikasi ke pelaku melalui Telegram Bot API sebagai tanda bahwa tahap pertama serangan berhasil dijalankan. Setelah jeda waktu yang disengaja selama 444 detik, skrip PowerShell kemudian menjalankan skrip Visual Basic (VBE) yang diunduh dari lokasi yang sama. Pendekatan bertahap ini membuat pemuat malware tetap ringan dan fleksibel, sekaligus memungkinkan pelaku memperbarui fungsi serangan tanpa mengubah struktur utama kampanye.

Skrip Visual Basic tersebut dibuat dengan teknik penyamaran tingkat tinggi dan berfungsi sebagai pengendali utama. Ia menyusun muatan berbahaya lanjutan langsung di dalam memori, sehingga tidak meninggalkan jejak file di hard disk. Pada tahap ini, malware juga memeriksa apakah ia dijalankan dengan hak administrator. Jika belum, sistem akan terus menampilkan permintaan izin User Account Control (UAC) setiap beberapa detik hingga korban tanpa sadar memberikan izin yang dibutuhkan.

Setelah memperoleh kendali penuh, malware menjalankan serangkaian aksi untuk menonaktifkan sistem pertahanan dan memperkuat posisinya di dalam sistem. Microsoft Defender dikonfigurasi agar mengabaikan pemindaian pada folder-folder penting, lalu komponen perlindungan tambahan dimatikan menggunakan PowerShell. Defendnot kemudian dijalankan untuk memastikan Defender benar-benar tidak aktif.

Selain melumpuhkan keamanan, malware juga melakukan pengintaian intensif. Modul khusus berbasis .NET diunduh untuk mengambil tangkapan layar setiap 30 detik. Gambar-gambar tersebut kemudian dikirim ke pelaku melalui Telegram. Di saat yang sama, alat administrasi dan diagnostik Windows dinonaktifkan melalui perubahan kebijakan Registry, sehingga korban kesulitan mendeteksi atau memulihkan sistem.

Tak berhenti di situ, malware juga membajak asosiasi file tertentu. Akibatnya, ketika korban membuka file dengan ekstensi tertentu, akan muncul pesan yang mengarahkan mereka untuk menghubungi pelaku melalui Telegram. Ini menjadi bagian dari strategi intimidasi dan pengendalian psikologis korban.

Salah satu muatan utama yang dijalankan adalah Amnesia RAT, yang diunduh dari Dropbox dengan nama file menyerupai proses sistem Windows. Amnesia RAT memiliki kemampuan pencurian data yang sangat luas, mulai dari kredensial browser, data dompet kripto, hingga informasi dari aplikasi populer seperti Discord, Steam, dan Telegram. Selain itu, malware ini juga mampu merekam layar, mengakses webcam dan mikrofon, mencuri isi clipboard, serta memantau aktivitas pengguna secara real-time.

Amnesia RAT memberikan kendali jarak jauh penuh kepada pelaku, termasuk menjalankan perintah, menghentikan proses, menyebarkan malware tambahan, dan mengunggah muatan baru. Data hasil curian umumnya dikirim melalui koneksi HTTPS menggunakan Telegram Bot API, sementara data berukuran besar diunggah ke layanan berbagi file pihak ketiga.

Muatan kedua yang tak kalah berbahaya adalah ransomware turunan dari keluarga Hakuna Matata. Ransomware ini mengenkripsi berbagai jenis file penting di sistem korban setelah terlebih dahulu menghentikan proses yang dapat mengganggu aksinya. Bahkan, ransomware ini juga memantau clipboard dan secara diam-diam mengganti alamat dompet kripto dengan alamat milik pelaku untuk mengalihkan transaksi keuangan.

Sebagai tahap akhir, pelaku memasang WinLocker untuk membatasi interaksi pengguna dengan sistem, membuat korban semakin sulit mengendalikan perangkatnya sendiri.

Menurut Cara Lin, kampanye ini menunjukkan bahwa penyerang modern tidak selalu membutuhkan celah keamanan perangkat lunak untuk mengambil alih sistem. Dengan menyalahgunakan fitur bawaan Windows dan alat administrasi yang sah, pelaku mampu menonaktifkan pertahanan sebelum melancarkan serangan utama.

Microsoft sendiri menyarankan pengguna untuk mengaktifkan fitur Tamper Protection guna mencegah perubahan tidak sah pada Microsoft Defender serta memantau aktivitas sistem yang mencurigakan. Temuan ini juga beriringan dengan meningkatnya aktivitas kelompok ancaman lain yang menargetkan organisasi Rusia, menandakan bahwa lanskap ancaman siber di kawasan tersebut masih terus berkembang dan semakin kompleks.