Waspada! Situs Palsu Chrome Sebarkan Malware ValleyRAT

Sebuah serangan siber terbaru terungkap, di mana situs web palsu yang mengiklankan Google Chrome digunakan untuk menyebarkan malware berbahaya bernama ValleyRAT. Malware ini bukan sekadar virus biasa, melainkan sebuah trojan akses jarak jauh (Remote Access Trojan/RAT) yang mampu mencuri data dan mengontrol sistem korban dari jarak jauh.

Serangan ini dikaitkan dengan kelompok peretas Silver Fox, yang sejak 2023 telah menargetkan pengguna di wilayah berbahasa Mandarin seperti Hong Kong, Taiwan, dan China daratan. Namun, ada indikasi bahwa kampanye ini mulai menyebar lebih luas dan mengincar target yang lebih spesifik.

Sasaran Utama: Pekerja dengan Akses ke Data Sensitif
Laporan dari perusahaan keamanan siber Morphisec mengungkap bahwa kelompok peretas di balik serangan ini kini semakin cermat dalam memilih target. Mereka fokus pada individu yang bekerja di departemen keuangan, akuntansi, dan penjualan yakni orang-orang yang memiliki akses ke data sensitif perusahaan.

"Ini adalah strategi yang sangat terarah. Dengan menargetkan pekerja di posisi kunci, peretas bisa mendapatkan informasi berharga, termasuk data keuangan dan sistem internal perusahaan," kata Shmuel Uzan, peneliti keamanan dari Morphisec.

Metode Serangan: Situs Palsu dan Teknik DLL Hijacking
Serangan ValleyRAT dimulai dengan penyebaran situs web palsu yang menyerupai situs resmi Google Chrome. Saat pengguna mencari Google Chrome di internet, mereka dapat diarahkan ke situs berbahaya ini melalui teknik drive-by download.

Ketika korban mengunduh dan menjalankan installer yang mereka kira sebagai Google Chrome, sebenarnya mereka sedang menginstal program berbahaya yang berisi ValleyRAT.

Begitu dijalankan, installer palsu ini akan:

1. Memeriksa apakah korban memiliki hak administrator pada perangkatnya.
2. Mengunduh beberapa file tambahan, termasuk:
   
   • Douyin.exe: Aplikasi asli (versi China dari TikTok) yang digunakan untuk menyembunyikan malware.
   • tier0.dll: File DLL berbahaya yang menyebarkan malware ValleyRAT.
   • sscronet.dll: File yang bertugas menonaktifkan proses keamanan di komputer korban.

Teknik yang digunakan dalam serangan ini dikenal sebagai DLL hijacking, yaitu memanfaatkan aplikasi sah yang memiliki celah keamanan untuk menjalankan kode berbahaya tanpa terdeteksi.

Kemampuan ValleyRAT: Mengintai dan Mengontrol Korban
ValleyRAT bukan sekadar virus biasa. Trojan ini dirancang untuk memantau aktivitas korban dan mengambil alih sistem mereka secara diam-diam.

Beberapa fungsi utama ValleyRAT meliputi:

1. Merekam aktivitas layar korban secara diam-diam.
2. Mencatat semua ketikan keyboard (keylogging) untuk mencuri kata sandi dan informasi penting lainnya.
3. Berkomunikasi dengan server peretas, memungkinkan mereka mengunduh atau menjalankan perintah tambahan.

Dengan kemampuan ini, peretas bisa dengan mudah mencuri data, mengambil kendali atas perangkat korban, atau bahkan menyebarkan malware tambahan ke dalam jaringan perusahaan.

Terkait dengan Serangan Gh0st RAT
Peneliti keamanan menemukan bahwa serangan ini mirip dengan kampanye sebelumnya yang menyebarkan Gh0st RAT, malware yang banyak digunakan oleh kelompok peretas China. Michael Gorelik, CTO Morphisec, mengatakan bahwa situs web palsu Chrome yang digunakan dalam serangan ValleyRAT sebelumnya juga digunakan untuk menyebarkan Gh0st RAT.

"Ada bukti yang menunjukkan hubungan antara dua kampanye ini. Kami melihat pola serupa dalam metode penyebaran dan jenis target yang disasar," ujar Gorelik.

Ancaman Lain: Serangan Phishing dengan File SVG
Selain serangan ValleyRAT, perusahaan keamanan Sophos juga menemukan metode serangan baru yang menggunakan file Scalable Vector Graphics (SVG) dalam email phishing.

Dengan metode ini, file SVG digunakan untuk:

1. Melewati sistem deteksi keamanan, karena file SVG tidak selalu dianggap berbahaya oleh antivirus.
2. Menginstal keylogger berbasis AutoIt, seperti Nymeria, untuk mencuri kredensial pengguna.
3. Mengalihkan korban ke situs palsu yang bertujuan mencuri username dan password mereka.

Bagaimana Cara Menghindari Serangan Ini?
Karena serangan ini memanfaatkan kepercayaan pengguna terhadap software populer, langkah terbaik untuk melindungi diri adalah lebih waspada saat mengunduh perangkat lunak dari internet.

Berikut beberapa langkah untuk mencegah infeksi ValleyRAT dan malware lainnya:

1. Unduh software hanya dari situs resmi. Pastikan Anda hanya mengunduh Chrome dari google.com/chrome atau toko aplikasi terpercaya.
2. Periksa URL situs sebelum mengunduh. Jika alamat web terlihat mencurigakan atau sedikit berbeda dari yang asli, segera batalkan unduhan.
3. Gunakan antivirus dan firewall yang selalu diperbarui. Keamanan yang diperbarui dapat mendeteksi malware sebelum menginfeksi sistem Anda.
4. Hindari mengklik tautan mencurigakan yang diterima melalui email, media sosial, atau pesan instan.

Jika Anda merasa komputer telah terinfeksi, segera lakukan pemindaian dengan software keamanan terkini, hapus file mencurigakan, dan periksa apakah ada proses tidak dikenal yang berjalan di sistem Anda.

Dengan meningkatnya ancaman ini, pengguna harus lebih waspada dan selalu memastikan bahwa mereka hanya mengunduh software dari sumber resmi. Jangan biarkan kecerobohan membuka celah bagi peretas untuk mengakses data pribadi atau perusahaan Anda!