HuluCaptcha: Serangan Malware Canggih Lewat CAPTCHA Palsu

Di dunia siber yang terus berkembang, munculnya teknik serangan baru menandakan bahwa pelaku kejahatan siber kian canggih dalam mengecoh pengguna. Salah satu ancaman terbaru dan paling mengkhawatirkan saat ini adalah HuluCaptcha, sebuah framework penyebaran malware canggih yang menyamar sebagai halaman verifikasi CAPTCHA, padahal sejatinya itu adalah jebakan berbahaya untuk memaksa pengguna menjalankan perintah PowerShell lewat fitur Run di Windows.

Serangan ini tidak hanya pintar, tapi juga menunjukkan peningkatan serius dalam taktik rekayasa sosial (social engineering), yang mengandalkan manipulasi psikologis agar korban mengikuti instruksi tertentu. HuluCaptcha bahkan telah dikaitkan dengan serangan terhadap berbagai target bernilai tinggi, termasuk lembaga pendidikan dan situs-situs yang memiliki hubungan dengan pemerintah.

Modus Operandi HuluCaptcha

Serangan HuluCaptcha dimulai dengan cara yang sangat halus. Pelaku pertama-tama meretas situs WordPress yang sah, lalu menyisipkan kode JavaScript berbahaya ke dalam file tema situs tersebut—biasanya dalam file seperti main.min.js.

Saat pengguna tanpa curiga mengunjungi situs yang telah disusupi, mereka secara otomatis dialihkan ke halaman yang tampak seperti halaman verifikasi keamanan Cloudflare. Di halaman ini, pengguna diperlihatkan CAPTCHA palsu yang meyakinkan, lengkap dengan petunjuk untuk menekan tombol Windows+R, lalu menyalin dan menempelkan kode yang terlihat seperti kode verifikasi.

Padahal, “kode verifikasi” tersebut sebenarnya adalah perintah PowerShell berbahaya yang akan membuka pintu bagi malware untuk masuk ke sistem pengguna.

Penemuan Awal oleh Peneliti Keamanan

Kampanye HuluCaptcha pertama kali ditemukan oleh peneliti keamanan independen bernama Gi7w0rm. Ia mulai menyelidiki setelah seorang temannya menjadi korban usai mengunjungi situs milik Asosiasi Hukum Internasional Jerman.

Setelah dianalisis, HuluCaptcha terbukti bukan serangan sembarangan. Framework ini dilengkapi dengan kemampuan otomatis untuk:

• Melacak korban
• Menghasilkan payload malware secara real-time
• Menggunakan sistem afiliasi untuk monetisasi, yang menandakan adanya jaringan penyebar lebih luas

Dampak Global dan Malware yang Disebarkan

Serangan ini telah menyebar lintas benua dan menyerang berbagai sektor. Beberapa korban yang berhasil diidentifikasi termasuk:

• Los Angeles Caregiver Resource Center
• Institusi pendidikan
• Organisasi kesehatan

HuluCaptcha diketahui menyebarkan beragam malware, di antaranya:

• Lumma Stealer: mencuri data pribadi dan informasi login
• Aurotun Stealer: mengambil kredensial sistem
• Donut Injector: menyuntikkan kode berbahaya ke sistem target

Dengan banyaknya jenis malware yang disebarkan, HuluCaptcha diyakini digunakan sebagai platform malware-as-a-service (MaaS), yaitu layanan penyewaan malware bagi pihak ketiga.

Keunikan HuluCaptcha Dibanding CAPTCHA Palsu Lainnya

Yang membedakan HuluCaptcha dari kampanye phishing atau serangan CAPTCHA palsu lainnya adalah tingkat kecanggihan dan detail teknisnya. HuluCaptcha:

• Melacak perilaku pengguna secara langsung
• Menyesuaikan serangan berdasarkan versi browser yang digunakan
• Menghindari deteksi keamanan dengan mekanisme penyamaran canggih
• Menggunakan banyak domain dan server untuk memperkuat daya tahan terhadap pemblokiran

Hal ini menjadikannya lebih sulit dilacak dan dimatikan oleh tim keamanan siber.

Strategi Infeksi dan Mekanisme Bertahan
HuluCaptcha menggunakan pendekatan berlapis dalam menyusup ke sistem pengguna:

1. Tahap Awal: Penyisipan JavaScript
   Situs WordPress yang telah diretas akan disuntikkan JavaScript khusus yang hanya aktif jika mendeteksi:
   • Pengguna memakai sistem operasi Windows
   • Browser yang digunakan adalah Edge, Chrome, atau Firefox versi tertentu
2. Komunikasi ke Server Penyerang
   Script akan menghubungi server C2 (command and control), seperti analytiwave.com/api/getUrl .Jika tidak berhasil, akan dialihkan ke server cadangan seperti goclouder.com. Data pelacakan dikirim dalam bentuk terenkripsi (Base64), berisi informasi seperti nama host dan domain.
3. Pengalihan ke Halaman Verifikasi Palsu
   Pengguna yang memenuhi kriteria akan diarahkan ke halaman CAPTCHA palsu. Di sana, script akan:
   • Merekam klik, gerakan mouse, hingga kombinasi tombol
   • Mencatat kapan pengguna meninggalkan tab browser
   • Menilai sejauh mana instruksi dijalankan
4. Mekanisme Bertahan di WordPress
   Agar tetap bisa mengakses sistem dalam jangka panjang, pelaku:
   • Menanam backdoor di plugin WordPress
   • Membuat akun admin tersembunyi
   • Memodifikasi database untuk menyembunyikan pengguna jahat
   • Mengaktifkan ulang backdoor jika dihapus

Ini menjadikan HuluCaptcha sangat sulit dihilangkan meski sudah dilakukan pembersihan permukaan.

Ancaman Nyata yang Perlu Diwaspadai

HuluCaptcha adalah bentuk evolusi dari serangan malware modern, memadukan elemen rekayasa sosial, visualisasi yang menipu, dan kecanggihan teknis. Ancaman ini menjadi pengingat keras bagi kita semua untuk tidak mudah percaya dengan tampilan halaman yang tampak sah, terutama saat diminta melakukan tindakan tidak biasa seperti menjalankan kode di jendela Windows Run.

Tips Perlindungan dari Serangan HuluCaptcha:

• Jangan sembarangan menekan tombol atau menjalankan perintah dari situs tak dikenal
• Periksa ulang alamat URL dengan teliti
• Gunakan antivirus dan firewall yang selalu diperbarui
• Waspada terhadap CAPTCHA yang meminta tindakan tidak lazim
• Laporkan situs mencurigakan kepada pihak berwenang atau CSIRT terkait

Dengan meningkatnya serangan seperti HuluCaptcha, penting bagi pengguna internet untuk lebih waspada dan memahami bahwa tidak semua halaman “verifikasi keamanan” itu benar-benar aman. Edukasi, kesadaran, dan perlindungan berlapis adalah kunci utama menghadapi ancaman siber masa kini.